BrowserID es un método, presentado en julio de 2011, para utilizar las direcciones de correo electrónico para probar una identidad e iniciar sesión en un sitio web de forma rápida y segura..

El sistema fue desarrollado por Mozilla Labs..

Está diseñado para ser más fácil y rápido que el método de registro de un sitio que le envía un correo electrónico y usted hace clic en un enlace para verificar su verdadera identidad..

Entonces, ¿por qué es importante y cómo funcionará? Decidimos averiguarlo.

P. ¿Cómo funcionaría en la práctica??

A. Con el fin de iniciar su sesión en un sitio web que apoya BrowserID, sólo se tendría que hacer clic en un botón Iniciar sesión y luego seleccionar de un menú de lo dirección de correo electrónico que desea utilizar. Tu navegador y el sitio web se encargarán de todo lo demás..

P. ¿Qué pasa con el inicio de sesión a través de Facebook, Twitter o Google? Eso sería incluso más rápido y más simple, ¿no es así??

R. Sí, cuando se está navegando mientras está conectado a cualquiera de esos portales, usted no tiene que hacer nada, ya que cualquier página web conectada con ellos sabrá inmediatamente que eres. Y ese es el problema. La subcontratación de estas tareas a proveedores privados gigantes crea muchos problemas de bloqueo y protección de la privacidad..

P. Eso es cierto, ¡pero espera un segundo! ¿No se suponía que OpenID debía proporcionar (más o menos) el mismo servicio??

A. De hecho lo era. En la práctica, parece que OpenID no pudo alcanzar una masa crítica por varias razones. Probablemente el más importante fue la necesidad de ir temporalmente a otro sitio web para obtener acceso al que querías visitar..

A menos que alguien realmente entiende el valor de los servicios de autenticación en línea confiable (y se preocupa por ella) que es mucho más engorroso que simplemente decirle a un navegador de recordar todas las contraseñas, o haga clic en las casillas Recordarme proporcionados por la mayoría de los formularios web de inicio de sesión. BrowserID intenta proporcionar el mismo nivel de seguridad y confianza que OpenID, pero de una manera mucho más transparente.

Q. Dígame más acerca de la protección de la privacidad en BrowserID, por favor.

R. En primer lugar, a diferencia de otros sistemas de inicio de sesión, BrowserID no obliga al usuario a compartir o transmitir personal en línea, los datos sensibles, como la fecha de nacimiento. Además de esto, BrowserID está diseñado para no pasar a ningún dato del servidor sobre qué páginas web visita.

P. ¿Por qué BrowserID se basa en direcciones de correo electrónico?

R. En primer lugar, porque todo el mundo el uso de la web de forma regular ya tiene al menos una dirección de correo electrónico y sabe que ya ha usado como un testigo de identidad y autorización. A continuación, porque las direcciones de correo electrónico no son controladas ni controlables por una sola organización.

Por último, ya que prácticamente todos los sitios web que requieren sus usuarios iniciar sesión ya se almacenan sus direcciones de correo electrónico para manejar las comunicaciones directas, las solicitudes de restablecimiento de contraseña y otros servicios: por lo tanto, BrowserID les da una mejor manera de utilizar para la autenticación algunos datos de los usuarios que ya tienen.

P. ¿Me impediría BrowserID usar mis apodos favoritos en esos sitios web??

A. No, en absoluto. La dirección de correo electrónico se utiliza sólo para la autenticación inicial. BrowserID no limita de ninguna manera cómo un sitio web le permite configurar su cuenta local.

P. ¿Podría tener múltiples identidades de BrowserID entonces??

A. Por supuesto. El único requisito es que cada uno de ellos esté asociado a una dirección de correo electrónico diferente..

P. ¿Qué pasa con otras aplicaciones, como los clientes de chat? ¿Podría usar BrowserID con ellos también, o es solo una cosa del navegador??

R. Sí se puede, siempre y cuando esos programas de aplicación del Protocolo, y proporcionan a sus usuarios con una interfaz para conectarse a su proveedor de identidad para obtener las claves. Estos se pueden almacenar en Kwallet o en cualquier otro administrador de contraseñas basado en el escritorio..

Q. Lo siento, ¿qué protocolo y claves? Es BrowserID basado en algún tipo de tecnología patentada?

R. No. Técnicamente hablando, BrowserID es una aplicación del Protocolo Verificado de Correo Electrónico; un sistema de autenticación descentralizada basada en la criptografía de clave pública / privada, a través del cual los usuarios pueden probar a un sitio web que poseen una dirección de correo electrónico.

P. ¿Funciona BrowserID en todos los navegadores??

A. BrowserID puede funcionar en todos los navegadores modernos, incluidos los móviles. El único requisito es que esos navegadores sean compatibles con la API JavaScript de BrowserID. Dicho esto, incluso si se viera obligado a usar un navegador que no sea compatible, aún sería posible usar un servicio equivalente basado en la web.

P. ¿Qué debo hacer para comenzar a usar BrowserID?

A. Debe iniciar sesión en el camino anterior al sitio web de su proveedor de identidad. Ese servidor le indicará a su navegador, a través de una API de JavaScript, que genere un par público / privado de claves criptográficas.

Inmediatamente después, el navegador enviará la clave pública al proveedor de identidad y obtendrá un certificado de identidad firmado. El navegador almacenará la clave privada y el certificado como lo haría con las contraseñas tradicionales.

P. ¿Qué pasaría después, cuando visito un sitio web compatible con BrowserID??

A. Ese sitio web le dirá a su navegador que ejecute una función de JavaScript que le pregunte si desea iniciar sesión y con qué identidad, es decir, la dirección de correo electrónico.

P: Y cuando acepto ...

A. El navegador enviará al sitio web el certificado de identidad, firmado con la clave privada. En ese momento, el sitio web descargará su clave pública de su proveedor de identidad y verificará que la firma sea auténtica.

P. Y así es como demostraré a ese sitio web que realmente soy quien digo que soy.?

A. Sí ... y no. Lo que este procedimiento proporciona es una confirmación de terceros (a diferencia de lo que ocurre con las cookies!) Que la solicitud de autenticación proviene de un navegador que tiene la clave secreta asociada a la dirección de correo electrónico proporcionada. Lo que significa que…

P. Nunca debería dejar que otras personas usen mi navegador.!

A. Eso es absolutamente cierto. Sin embargo, ese es el mismo riesgo que ya enfrenta con cualquier otro sistema de autenticación que no lo obligue a ingresar una contraseña cada vez, ¿no es así??

P. Supongo que eso es cierto, pero esto también significa que no podré autenticarme desde otros navegadores, ¿verdad??

A. Depende. Eso es realmente depende de ti. En y por sí misma, hace BrowserID permitirá tener un certificado para cada ordenador o un teléfono inteligente que utilice, incluidos los prestados o públicos, tales como kioscos de Internet. Por supuesto, en esos casos, tendría que eliminar la clave privada y el certificado tan pronto como haya terminado.!

P. Volvamos a los proveedores de identidad. Sigues mencionándolos, ¿quiénes son??

A. En el escenario más simple y natural, su proveedor de identidad BrowserID sería su proveedor de correo electrónico.

P. ¿Qué pasa si no es compatible con el sistema?

R. Todavía puede utilizar, sin problemas, un proveedor de identidad secundario confiable que ofrezca los mismos servicios. La Fundación Mozilla, por ejemplo, ha creado un sitio web llamado BrowserID.org para este mismo propósito, con el fin de acelerar las pruebas y la adopción de BrowserID.

P .: Ah, sí, adopción. ¿Cuál es el estado actual de BrowserID? ¿Alguien ya lo está usando??

A. Al momento de escribir este artículo (a fines de noviembre), BrowserID se encuentra aún en su infancia. La mayoría de los desarrolladores de navegadores no han anunciado ningún plan oficial para integrar el soporte de BrowserID en su software. Pero ese no es el problema principal..

Q. ¿En serio? Entonces que es?

A. La cuestión abierta es verdadera si y cuando los principales proveedores de correo electrónico y comunidades en línea, como Facebook y Twitter, apoyarán BrowserID - que se convierten en proveedores de identidad. Especialmente cuando, como Facebook, tienen su propia alternativa interna..

Además, todos estos proveedores deberían acordar una manera estándar de hacer accesibles las claves públicas. Afortunadamente, nada de esto hace que sea imposible probar BrowserID o implementarlo en su sitio web.

Q. Eso es genial. ¿Cómo puedo probarlo hoy??

A. Por el momento, la mejor manera de ver cómo el uso de BrowserID ve es visitar el sitio oficial de demostración en Myfavoritebeer.org.

P. ¿Qué pasa con los webmasters?

Un Si utilizan software de código abierto populares, como WordPress o Drupal, tienen suerte: ya existen BrowserID plug-ins para los sistemas de gestión de contenidos.

Alternativamente, tendrían que seguir las instrucciones para desarrolladores publicadas en browserid.org. Sin embargo, incluso en ese caso, podrían usar BrowserID sin tener que escribir ningún código de autenticación por sí mismos..

--------------------------------------------------------------------------------------------------

Publicado por primera vez en formato de Linux Número 154