SEP-10
Padrão da rede Stellar para autenticar um usuário por meio da assinatura de sua chave, provando o controle de uma conta sem depender de senha tradicional.
Pontos-chave
- SEP-10 é um padrão da rede Stellar que define como autenticar um usuário por meio da assinatura de sua chave.
- Ele prova que a pessoa controla uma determinada conta, sem depender de senha ou de um cadastro tradicional.
- É usado por serviços que integram a rede, como pontos de entrada e saída de valor, para verificar a identidade da conta.
O que é o SEP-10?
SEP-10 é uma das propostas de padronização do ecossistema Stellar, conhecidas como Stellar Ecosystem Proposals. Ela define um método de autenticação baseado em assinatura criptográfica: em vez de usuário e senha, o usuário prova que controla uma conta ao assinar um desafio com sua chave. É uma forma de autenticação que se apoia diretamente nas chaves da blockchain, adequada a serviços que operam sobre a rede.
Como funciona
O fluxo segue uma lógica de desafio e resposta. O serviço que quer autenticar o usuário gera um desafio, uma mensagem específica, e o envia. O usuário assina esse desafio com a chave privada da conta que deseja provar controlar e devolve a assinatura. O serviço então verifica, usando a chave pública correspondente, se a assinatura é válida. Se for, fica comprovado que o usuário controla aquela conta, sem que a chave privada precise ser revelada.
A vantagem desse método é dispensar credenciais tradicionais. Não há senha a ser criada, armazenada ou roubada; a prova de identidade vem da posse da chave, o mesmo mecanismo que já protege os fundos na blockchain. Uma vez autenticado, o usuário costuma receber um token de sessão que autoriza suas interações seguintes com o serviço por um tempo, evitando repetir o processo a cada ação.
Esse padrão é especialmente relevante para serviços que conectam a rede Stellar ao mundo financeiro tradicional, como os pontos de entrada e saída de valor. Antes de permitir operações como depósitos e saques, esses serviços precisam ter certeza de com qual conta estão lidando, e o SEP-10 fornece essa garantia de forma padronizada. Ele costuma ser o primeiro passo, sobre o qual outros padrões, voltados aos fluxos de depósito e saque em si, se apoiam.
Entender o SEP-10 ajuda a compreender como serviços sobre a rede Stellar verificam de forma segura quem controla uma conta.
Por que importa
Entender o SEP-10 ajuda a compreender como serviços sobre a rede Stellar autenticam usuários de forma segura, usando as próprias chaves em vez de senhas. Para uma empresa que integra essa rede, é uma peça técnica central. Trata-se de um conceito técnico, sem que isso represente qualquer recomendação de operação.
Limitações
O SEP-10 prova o controle de uma conta, mas não substitui, por si só, verificações de identidade exigidas por regras aplicáveis, que dependem de outros processos. Sua segurança repousa inteiramente na proteção da chave privada: se ela é comprometida, a autenticação também é. Além disso, é específico da rede Stellar. Nada disso representa recomendação de operação.