O OAuth é seguro para utilizar em redes públicas?

O OAuth pode ser utilizado em redes públicas, mas com alguns riscos. Em redes Wi-Fi não seguras, os atacantes podem tentar intercetar tokens OAuth durante o processo de redirecionamento. Utilizar uma VPN encripta o seu tráfego e reduz significativamente este risco. Certifique-se também de que os sites onde utiliza OAuth recorrem a HTTPS, uma vez que o OAuth 2.0 depende desta encriptação para funcionar de forma segura.

Qual é a diferença entre OAuth e uma palavra-passe normal?

Com uma palavra-passe normal, entrega as suas credenciais diretamente a uma aplicação de terceiros — que as pode armazenar, expor em caso de violação ou utilizar indevidamente. Com o OAuth, nunca partilha a sua palavra-passe com a aplicação de terceiros. Em vez disso, um fornecedor de confiança (como o Google) emite um token de acesso temporário com permissões limitadas. Se esse token for comprometido, o dano é contido — e pode revogá-lo sem alterar a sua palavra-passe principal.

Posso revogar o acesso OAuth a qualquer momento?

Sim. A maioria dos grandes fornecedores de identidade — como o Google, a Apple e o Facebook — disponibiliza uma secção nas definições da conta onde pode ver todas as aplicações que têm acesso OAuth e revogar esse acesso individualmente. Assim que revoga o acesso, o token da aplicação torna-se inválido e esta perde imediatamente todas as permissões, sem necessidade de alterar a sua palavra-passe.

O OAuth e o OpenID Connect são a mesma coisa?

Não, mas estão estreitamente relacionados. O OAuth 2.0 foi concebido para *autorização* — conceder a uma aplicação permissão para aceder a recursos específicos. O OpenID Connect é uma camada construída sobre o OAuth 2.0 que adiciona *autenticação* — confirmando a identidade do utilizador. Na prática, quando clica em "Entrar com o Google", está frequentemente a utilizar o OpenID Connect para autenticação e o OAuth para autorização, sendo que ambos funcionam em conjunto de forma integrada.

OAuth

OAuth: Como Funciona a Autorização Segura Sem Partilhar a Sua Palavra-passe

Já viu isto dezenas de vezes: "Entrar com o Google", "Continuar com o Facebook" ou "Iniciar sessão com a Apple". Esse clique simples num botão é o OAuth em ação. Mas o que acontece realmente nos bastidores — e por que razão isso é importante para a sua privacidade e segurança?

O Que É o OAuth

OAuth significa Open Authorization. É um protocolo de padrão aberto — o que significa que qualquer pessoa o pode implementar — que gere a autorização (o que lhe é permitido fazer) em vez da autenticação (provar quem você é). A versão atual, OAuth 2.0, é utilizada por praticamente todas as grandes plataformas na internet.

Em termos simples, o OAuth permite-lhe conceder a uma aplicação permissão para aceder a dados ou funcionalidades específicas noutra aplicação — sem nunca partilhar a sua palavra-passe. Mantém o controlo sobre o que é partilhado, e a aplicação de terceiros nunca vê as suas credenciais.

Como Funciona o OAuth

Eis uma explicação simplificada do que acontece quando clica em "Entrar com o Google" numa aplicação de terceiros:

Solicita o acesso. Clica no botão de início de sessão e a aplicação redireciona-o para a página de início de sessão do Google.
Autentica-se diretamente. Introduz as suas credenciais do Google nos próprios servidores do Google — a aplicação de terceiros não vê nada.
Concede permissão. O Google pergunta se pretende permitir que a aplicação aceda a dados específicos (como o seu nome e endereço de e-mail). Você aprova.
É emitido um token. O Google envia à aplicação um token de acesso de curta duração — uma sequência de caracteres que funciona como uma chave temporária. Este token tem um âmbito definido (o que pode aceder) e um prazo de validade.
A aplicação utiliza o token. A aplicação apresenta este token sempre que precisa de obter os seus dados. Nunca precisa da sua palavra-passe real.

Se revogar o acesso posteriormente, o token torna-se inválido. A aplicação de terceiros perde imediatamente as suas permissões — sem necessidade de alterar a palavra-passe.

Por Que Razão o OAuth É Importante para a Segurança

O principal benefício de segurança do OAuth é o isolamento de credenciais. Se uma aplicação de terceiros sofrer uma violação de dados, os atacantes obtêm, na pior das hipóteses, um token de acesso expirado — não a sua palavra-passe real do Google ou da Apple. A sua conta principal permanece protegida.

O OAuth também limita o âmbito de acesso. Uma aplicação pode apenas solicitar permissão para ler o seu endereço de e-mail, sem enviar e-mails em seu nome. Esse modelo de permissões granular representa uma camada de proteção significativa em comparação com conceder acesso total à conta.

OAuth e Utilizadores de VPN

Se utiliza uma VPN, o OAuth intersecta-se com a sua privacidade de algumas formas importantes.

Riscos de interceção de tokens. Em redes não seguras, os atacantes podem tentar ataques man-in-the-middle para intercetar tokens OAuth durante o processo de redirecionamento. Uma VPN encripta o seu tráfego, reduzindo significativamente esta exposição — particularmente em redes Wi-Fi públicas em aeroportos, hotéis ou cafés.

OAuth via HTTPS. O OAuth 2.0 requer HTTPS para funcionar de forma segura. Uma VPN adiciona uma camada de encriptação adicional, mas não substitui o HTTPS. Ambos a funcionar em conjunto oferecem uma proteção mais robusta.

Privacidade na ligação de contas. Quando utiliza "Entrar com o Google" ou semelhante, o Google sabe a quais serviços está a aceder e quando. Uma VPN oculta o seu endereço IP durante este processo, mas o fornecedor de identidade (Google, Apple, etc.) continua a registar esse evento de autorização. Os utilizadores com requisitos de privacidade rigorosos devem ponderar esta troca.

Ambientes de VPN empresarial. Muitas empresas combinam o acesso VPN com sistemas de Single Sign-On (SSO) baseados em OAuth. Os colaboradores autenticam-se uma única vez através de um fornecedor de identidade — frequentemente utilizando OAuth ou o protocolo relacionado OpenID Connect — e obtêm acesso a recursos internos protegidos pela VPN.

Casos de Utilização Práticos

Integrações de aplicações: Permitir que uma ferramenta de gestão de projetos publique atualizações no seu espaço de trabalho do Slack.
Inícios de sessão sociais: Iniciar sessão no Spotify utilizando a sua conta do Facebook.
Acesso a APIs: Conceder a uma aplicação de gestão de orçamento acesso apenas de leitura às suas transações bancárias.
Ferramentas para programadores: Autorizar um serviço de implementação de código a enviar atualizações para os seus repositórios do GitHub.

OAuth vs. Palavras-passe: A Perspetiva Mais Ampla

O OAuth não substitui as palavras-passe — reduz a frequência com que precisa de as utilizar em serviços de terceiros. Combinado com palavras-passe robustas, autenticação de dois fatores e uma VPN fiável, o OAuth é uma peça de uma abordagem de segurança em camadas que reduz significativamente a sua superfície de ataque online.

OAuthIntermediário