This dissertation aims to perform a comprehensive risk analysis of the possible threats presented to a user while trying to sign on to a service that uses the OpenID Connect (OIDC) protocol for authentication. This analysis counts with the help of fuzzy logic models, integrating proofs of privacy compliance to ensure conformity with GDPR (General Data Protection Regulation).Research was conducted on various concepts related to this theme, focussing on the OIDC authentication mechanism and the potential risks associated with user privacy consent when accessing a service through the authentication process. The concepts of fuzzy logic and fuzzy logic models, also known as fuzzy inference systems, were explored in-depth due to their advantage of being ideal for risk analysis. Within fuzzy inference systems, the focus was specifically on three types: Mamdani, Sugeno, and Tsukamoto, which were then compared to determine which would be the most suitable for the context of this dissertation.The development of a risk module is also documented, as it was the main tool for performing the risk analysis. It comprises different components, such as two Application Programming Interfaces (APIs), one database, and a fuzzy risk system. This is the main component of the module since it is responsible for performing the calculations of the risk related to the claims (user information) that the service tries to retrieve during the user-authentication process. Before being considered complete, this fuzzy system suffered many iterations, to improve its effectiveness in the final risk calculations.The risk module, which underwent a performance test, is also responsible for providing GDPR compliance and risk of the service to the end-user interface, which presents this information to the user who is trying to authenticate. This end-user interface design was carried out using a user-centric approach.The dissertation confirmed the success of the risk assessment using fuzzy logic models in a service that uses authentication through the OIDC protocol, highlighting that fuzzy logic is appropriate for risk analysis. In terms of end-user evaluation, it was also favourable, as most of the participants confirmed that they experienced greater safety awareness with the developed solution.

Esta dissertação tem como objetivo realizar uma análise abrangente dos possíveis riscos apresentados a um utilizador durante o processo de autenticação num serviço que utiliza o protocolo OpenID Connect para autenticação. Esta análise conta com o auxílio de modelos de lógica fuzzy, integrando também provas de conformidade com a privacidade para assegurar a conformidade com o RGPD (Regulamento Geral sobre a Proteção de Dados). Foi realizada investigação sobre diversos conceitos relacionados com este tema, com foco no mecanismo de autenticação OpenID Connect e nos potenciais riscos associados ao consentimento de privacidade do utilizador ao aceder a um serviço através do processo de autenticação.Os conceitos de lógica fuzzye modelos de lógica fuzzy, também conhecidos como sistemas de inferência fuzzy, foram explorados em profundidade devido à sua vantagem de serem ideais para análises de risco. Dentro dos sistemas de inferência fuzzy, o foco foi especificamente em três tipos: Mamdani, Sugeno e Tsukamoto, que foram posteriormente comparados para determinar qual seria o mais adequado ao contexto desta tese. O desenvolvimento de um módulo de risco também foi documentado, sendo esta a principal ferramenta para a realização da análise de risco. Este módulo é composto por diferentes componentes, tais como duas Interfaces de Programação de Aplicações (APIs), uma base de dados e um sistema de risco fuzzy, que é o principal componente deste módulo, uma vez que é responsável pelos cálculos de risco relacionados com as informações do utilizador que o serviço tenta obter durante o processo de autenticação do utilizador.Antes de ser considerado concluído, este sistema fuzzypassou por diversas iterações para melhorar a sua eficácia nos cálculos finais de risco. O módulo de risco é também responsável por fornecer ao interface do utilizador final as informações relativas ao risco e à conformidade com o RGPD, apresentando estas informações ao utilizador que está a tentar autenticar-se. O design deste interface para o utilizador final foi realizado com uma abordagem centrada no utilizador, o que também foi documentado. Foram realizados testes de desempenho no módulo de risco.A tese confirmou o sucesso da implementação da avaliação de risco utilizando modelos de lógica fuzzynum serviço que utiliza autenticação através do protocolo OpenID Connect, esclarecendo que a lógica fuzzyé adequada para análises de risco. Em termos de avaliação pelos utilizadores finais, esta também foi favorável, pois a maioria dos participantes confirmou que experienciaram uma maior consciencialização de segurança com a solução desenvolvida.