Um novo sistema de autenticação proposto pela fundação Mozilla, apelidado BrowserID, promete resolver as necessidades básicas de autenticação, mas o sucesso desta tecnologia depende fortemente de sua adoção.
A fundação Mozilla quer simplificar o processo de autenticação em sites usando simplesmente um endereço de email, sem a necessidade de digitar um nome identificador ou senha. Esta nova solução de autenticação chama-se BrowserID. Com ela, um endereço de email é verificado previamente e apenas uma vez pelo provedor de email, através de um mecanismo qualquer, como hardware, biometria, chaves criptográficas ou, como é mais comum, enviando uma mensagem para o usuário solicitando que ele acesse um link de verificação. A partir de então, quando o usuário acessar um site, ele escolherá um email para identificar-se, a partir da lista de endereços previamente validados. Assim, o usuário será capaz de autenticar-se seguramente sem usar nomes de usuário, senhas ou popups de autenticação OpenID. Este processo de login proposto pelo BrowserID pode ser testado aqui.
O BrowserID é baseado em um novo protocolo, o Verified Email Protocol, que utiliza apenas o endereço de email para autenticação, ao invés de criar novas identidades para o usuário. O protocolo inicia-se quando o usuário obtém um endereço de email de um provedor que ele confie. Nesta ocasião o navegador poderá criar um par de chaves criptográficas e, se o provedor suportar o BrowserID, enviar-lhe a chave pública e armazenar a chave privada. Quando um site for acessado, o navegador apresenta ao usuário a lista de endereços previamente validados. O usuário então escolhe um dos endereços e o navegador envia para o site uma asserção de identidade assinada com a chave privada do endereço de email selecionado. O site então obtém a chave pública com o provedor daquele email e a utiliza para verificar identidade e autenticar o acesso. Neste processo, fica claro que o site precisa confiar no provedor de email.
Caso o provedor de email não queira implementar o protocolo ou não seja confiável, a chave pública do usuário pode ser armazenada por uma autoridade secundária. Esta página contém mais detalhes sobre o processo de autenticação e aborda outros tópicos relacionados, como por exemplo as asserções de identidade e expiração de chaves, sincronização em múltiplos dispositivos, endereços pseudônimos, etc.
Dan Mills, da Mozilla Labs, diz que o BrowserID é melhor que outros sistemas de autenticação porque ele "não expõe para nenhum outro servidor (nem mesmo aos servidores de BrowserID) informações sobre quais sites o usuário visita". Além disso, o BrowserID pode ser utilizado com qualquer navegador moderno, incluindo os navegadores móveis. As atuais implementações foram desenvolvidas em HTML e Javascript, mas "o sistema foi projetado para ser integrado de forma transparente em futuros navegadores".
Apesar dos desenvolvedores precisarem de pouco esforço para implementar BrowserID em um site, o projeto depende da adoção em larga escala por provedores de email ou autoridades secundárias. Atualmente o BrowserID é um projeto experimental e seu sucesso depende de como a web, especialmente os grandes sites e provedores, irão reagir à proposta da Mozilla. O BrowserID pode vir a ser uma solução simples para o complexo problema que é a autenticação, especialmente agora que o OpenID parece estar enfrentando alguns problemas.