Mozilla uruchamia pierwszą wersję beta systemu uwierzytelniania witryny "Persona"

Mozilla wprowadziła na rynek pierwszą wersję beta niezależnego od przeglądarki systemu uwierzytelniania, Persona, w czwartek i ma nadzieję przekonać społeczność programistów internetowych spróbować.

System Persona został po raz pierwszy uruchomiony jako eksperymentalny projekt o nazwie BrowserID w lipcu 2011 r., mający na celu wyeliminowanie potrzeby tworzenia i zarządzania indywidualnymi nazwami użytkowników i hasłami dla różnych stron internetowych.

Persona uwierzytelnia użytkowników strony internetowe, które obsługują system, wykorzystując tylko istniejące adresy e-mail.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Użytkownicy muszą najpierw utworzyć konto na stronie internetowej persona.org Mozilli, zdefiniuj hasło i dodaj jeden lub więcej adresów e-mail do swoich kont. Własność każdego adresu e-mail jest weryfikowana po kliknięciu odsyłanego do niego łącza.

Następnie zalogowanie się na stronie internetowej obsługującej uwierzytelnianie Persona jest procesem tylko dwukrotnym kliknięciem. Użytkownicy, którzy nie są jeszcze zalogowani w serwisie persona.org, będą musieli wprowadzić zarówno swój adres e-mail, jak i hasło Persona podczas procesu logowania, natomiast użytkownicy, którzy już są uwierzytelnieni, zostaną poproszeni o wybranie tylko tego zweryfikowanego adresu e-mail, którego chcą użyć.

Persona jest koncepcyjnie podobna do innych systemów uwierzytelniania, takich jak OpenID, które umożliwiają użytkownikom uwierzytelnianie się na różnych stronach internetowych przy użyciu zweryfikowanych tożsamości.

Jednak usługa Persona polega na operacjach kryptograficznych z kluczem publicznym wykonywanych na poziomie przeglądarki bez dostawcy tożsamości - w tym przypadku dostawca poczty e-mail - biorący udział w rzeczywistym procesie uwierzytelniania, podobnie jak w przypadku OpenID.

Oznacza to, że Persona zapewnia wyższy poziom prywatności, ponieważ system nie śledzi aktywności użytkowników w sieci. "Tworzy ścianę między tym, co się z tobą podpisuje, a tym, co robisz, kiedy już tam jesteś. Historia odwiedzanych witryn jest przechowywana tylko na komputerze użytkownika ", powiedział Mozilla na stronie persona.org.

Istnieją jednak pewne wady. Eliminując potrzebę pamiętania oddzielnych nazw użytkowników i haseł dla każdej witryny, Persona tworzy pojedynczy punkt awarii - hasło persona.org.

Jeśli skradzione zostanie hasło użytkownika Persona, można je wykorzystać do podszywania się pod niego, Ben Adida, Projekt prowadzony przez Person w Mozilli, powiedział w czwartek za pośrednictwem poczty elektronicznej. "Nie ma oczywiście żadnej możliwości obejścia tego problemu."

Pod tym względem Persona nie różni się zbytnio od aplikacji do zarządzania hasłami, które również opierają się na głównym haśle, aby chronić wszystkie tożsamości użytkowników. Jednak Mozilla planuje wdrożenie dodatkowych mechanizmów ochrony w celu rozwiązania tego problemu.

"W celu poprawy ochrony pracujemy nad uwierzytelnianiem dwuetapowym w przyszłych wersjach beta" - powiedział Adida. Uwierzytelnianie dwuskładnikowe wymaga czegoś, co użytkownik zna, np. Hasła i czegoś, co użytkownik ma, na przykład urządzenia sprzętowego lub telefonu komórkowego. Bez posiadania obu tych elementów osoba atakująca nie może uzyskać dostępu do konta.

Mozilla wdrożyła również mechanizm ochrony sesji, aby ograniczyć zagrożenia bezpieczeństwa, które mogą powstać, gdy komputer użytkownika zostanie skradziony, gdy nadal jest zalogowany. org lub jeśli użytkownik zapomni wylogować się z persona.org po użyciu publicznego komputera.

"Użytkownicy muszą po prostu zmienić swoje hasło z dowolnego innego komputera, a wszelkie istniejące sesje Persona są wtedy zablokowane i nie mogą już być używany do uwierzytelnienia użytkownika ", powiedział Adida.

" Kiedy użytkownik wprowadza swoje hasło Persona na komputerze, którego wcześniej nie używał, sesja początkowo zajmuje tylko 5 minut "- powiedział. "Poszerzenie to wymaga ponownego wpisania hasła, w którym to momencie prosimy użytkownika, aby poinformował nas, czy ten komputer jest jego własnością, czy jest publiczny."

Persona ma jeszcze długą drogę, zanim stanie się praktyczną alternatywą uwierzytelniania. Przede wszystkim Mozilla musi przekonać twórców stron i ważnych dostawców usług internetowych do przyjęcia systemu i wdrożenia go jako opcji na swoich stronach internetowych. Aby to ułatwić, w sierpniu wprowadzono nowy i łatwiejszy w użyciu interfejs Persona API (interfejs programowania aplikacji)

"Jeśli jesteś programistą, teraz jest czas, aby wypróbować Persona na zewnątrz. Persona to projekt o otwartym kodzie źródłowym i chętnie przyjmiemy wkład i współpracę z szerszej społeczności za pośrednictwem naszej listy mailingowej lub naszego kanału IRC "- powiedział w czwartek w poście na blogu zespół Mozilli.