O uso de logins e senhas para o acesso a sites ou aplicações na Web pode não ser mais necessário dentro de alguns anos. São informações frequentemente esquecidas ou definidas de forma fraca, em combinações fáceis de adivinhar. Até mesmo quando as senhas são fortes, elas podem se perder em vazamento de dados ou podem ser coletadas em ataques de phishing.

Para eliminar esse tipo de problema de segurança, a nova recomendação WebAuthentication (Autenticação na Web) do W3C possibilitará o uso de autenticação baseada em criptografia forte para substituir o uso de login e senha. Ela foi formulada para atender à solicitação de seus membros e baseada nas APIs propostas pela FIDO Alliance (Fast IDentity Online). De acordo com Newton Calegari, especialista do Ceweb.br, a recomendação WebAuthn – como vem sendo chamada pela comunidade de desenvolvimento – traz um conjunto de APIs (Application Programming Interfaces) que permitem fazer a autenticação de outros modos.

“Essas APIs estão trazendo métodos alternativos e mais seguros, como a utilização de dispositivos externos”, comenta. Calegari cita como exemplo o uso de smartphones como tokens que dão acesso a serviços na Web. “Outro exemplo é a utilização de chaves criptográficas, que será possível utilizar em aplicações web graças à recomendação WebAuthn”, afirma.

O que é a recomendação
O esforço de autenticação na Web complementará recomendaçõesprojetos anteriores do W3C referentes à API de Criptografia web, bem comorecomendações projetos em andamento sobre especificações de segurança das aplicações web. Seu objetivo é elevar o padrão de segurança, bem como colaborar com especialistas, acadêmicos e outras organizações que trabalham com padronização para garantir que as necessidades específicas de segurança da Web sejam satisfeitas.

Essa colaboração deve gerar um esforço de padronização das APIs, permitindo que implementações consistentes funcionem no ecossistema da Web. A nova abordagem substituirá as senhas por formas mais seguras de fazer o login em sites web, por exemplo, ao usar um token USB ou recursos como o leitor biométrico disponível nos celulares.

O especialista explica que todas as atividades de padronização do W3C são realizadas nos Grupos de Trabalho, abertos à participação dos membros do W3C, que oferecem listas públicas e repositórios para comentários e participação do público. “Veremos uma grande mudança nos serviços disponibilizados na Web nos próximos dois ou três anos. Hoje as empresas responsáveis pelos principais navegadores já estão testando e implementando essa tecnologia em suas últimas versões, permitindo que os usuários utilizem esses métodos alternativos de autenticação”.

A discussão sobre os avanços obtidos até aqui fará parte da Conferência Web.br, que será realizada pelo Ceweb.br (Centro de Estudos sobre Tecnologias Web) do NIC.br (Núcleo de Informação e Coordenação do Ponto BR), com o apoio do W3C Brasil nos dias 04 e 05 de outubro. Participe!