Mozilla esittelee ensimmäisen "Persona" -sivuston todentamisjärjestelmän beta-version

Mozilla julkaisi torstaina selaimesta riippumattoman verkkosivuston todentamisjärjestelmänsä ensimmäisen beetaversion ja toivoo voivansa vakuuttua Web-kehittäjäyhteisöstä kokeilemalla sitä.

Persona-järjestelmä käynnistettiin ensimmäisen kerran kokeiluhankkeeksi nimeltä BrowserID heinäkuussa 2011, jonka tarkoituksena on poistaa yksittäisten käyttäjänimien ja salasanojen luominen ja hallinta eri verkkosivustoille.

Persona todentaa käyttäjiltä jotka tukevat järjestelmää käyttämällä vain olemassa olevia sähköpostiosoitteitaan.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Käyttäjien on ensin luotava tili Mozilla: n henkilön.org verkkosivustolla, määritä salasana ja lisää yksi tai useampi sähköpostiosoite tileihinsä. Jokaisen yksittäisen sähköpostiosoitteen omistus tarkistetaan klikkaamalla sitä lähetettyä linkkiä.

Tämän jälkeen allekirjoittaminen verkkosivustolle, joka tukee Persona-todennusta, on vain kaksi napsautusta. Käyttäjät, jotka eivät ole vielä kirjautuneet persona.org -palveluun, täytyy syöttää sekä sähköposti- että Persona-salasanansa kirjautumisprosessin aikana, kun taas jo todennetut käyttäjät pyydetään valitsemaan vain vahvistettu sähköpostiosoite, jonka he haluavat käyttää.

Persona on käsitteellisesti samanlainen kuin muut Authentication-järjestelmät, kuten OpenID, joiden avulla käyttäjät voivat todentaa eri verkkosivustoilla käyttäen todennettuja identiteettejä.

Persona kuitenkin uskaltaa julkisen avaimen kryptografiatoimintaan, joka suoritetaan selaintasolla ilman identiteetin tarjoajaa - tässä tapauksessa e-palveluntarjoaja, joka on mukana varsinaisessa todentamisprosessissa, kuten OpenID: ssä.

Tämä tarkoittaa, että Persona tarjoaa suuremman tietoturvan, koska järjestelmä ei seuraa käyttäjien toimintaa verkossa. "Se luo seinän, joka allekirjoittaa sinut ja mitä teet, kun olet siellä. Vierailusi sivujen historia tallennetaan vain omaan tietokoneeseesi, "Mozilla sanoi persona.org -verkkosivustolla.

On kuitenkin joitain haittapuolia. Eliminoimalla tarvetta muistaa erilliset käyttäjätunnukset ja salasanat jokaiselle verkkosivustolle, Persona luo yhden epäonnistumisen - persoonan salasanan.

Käyttäjän Persona-salasanasta varastetaan sitä, jota voidaan käyttää ihailemaan niitä, Ben Adidaa, Persona-projekti johti Mozilla, sanoi torstaina sähköpostitse. "Tätä ei tietenkään ole."

Tässä suhteessa Persona ei ole kovin erilainen kuin salasananhallintasovellukset, jotka myös luottavat pääsalasanaan, jotta kaikki käyttäjän identiteetit voidaan suojata. Mozilla aikoo kuitenkin toteuttaa joitain lisä suojausmekanismeja tämän ongelman ratkaisemiseksi.

"Parannetun suojauksen parissa työskentelemme kahden tekijän todentamisessa tulevissa beta-versioissa", Adida sanoi. Kaksitekstinen todennus vaatii jotain, jonka käyttäjä tietää, kuten salasanan, ja jotain, jolla käyttäjällä on, kuten laitteisto tai matkapuhelin. Jos molemmat elementit eivät ole käytössä, hyökkääjä ei pääse tiliin.

Mozilla on myös toteuttanut istunnon suojausmekanismin, jotta voidaan rajoittaa turvallisuusriskejä, joita voi ilmetä, jos käyttäjän kannettava tietokone on varastettu, kun hän on vielä kirjautunut henkilöön. org tai jos käyttäjä unohtaa kirjautua ulos persona.org -verkosta julkisen tietokoneen käytön jälkeen.

"Käyttäjät tarvitsevat yksinkertaisesti vaihtaa salasanansa mistä tahansa muusta tietokoneesta, ja kaikki olemassa olevat Persona-istunnot lukitaan, eikä niitä enää voida Käyttäjä tunnistaa käyttäjän, "Adida sanoi.

" Kun käyttäjä syöttää Persona-salasanansa tietokoneeseen, jota he eivät ole käyttäneet aiemmin, istunto on aluksi vain 5 minuuttia pitkä ", hän sanoi. "Laajennuksen tekeminen edellyttää salasanan kirjoittamista uudelleen, jolloin käyttäjää kehotetaan kertomaan, onko tämä tietokone heidän vai julkinen."

Persona on vielä pitkä matka, kunnes se tulee käytännön todennusvaihtoehdoksi. Ensinnäkin Mozillan on vakuutettava verkkosivujen kehittäjät ja tärkeät verkkopalvelujen tarjoajat hyväksymään järjestelmä ja toteuttamaan se vaihtoehtona verkkosivustoilleen. Tämän helpottamiseksi elokuussa käynnistettiin uusi ja helppokäyttöisempi Persona API (Application Programming Interface).

"Jos olet kehittäjä, nyt on aika kokeilla Personaa. Persona on avoimen lähdekoodin projekti, ja olemme iloisia tervetulleista panosta ja yhteistyötä laajemmasta yhteisöstä sähköpostilistan tai IRC-kanavan kautta ", Mozilla Identity -tiimi sanoi torstaina blogikirjoituksessa.