Mozilla lanserar den första betaversionen av "Persona" -webbplatsverifieringssystem

Mozilla lanserade den första betaversionen av sitt webbläsaroberoende webbsidorautentiseringssystem, Persona, på torsdag och hoppas kunna övertyga webbutvecklaren för att prova.

Persona-systemet lanserades först som ett experimentellt projekt som heter BrowserID i juli 2011 med målet att eliminera behovet av att skapa och hantera enskilda användarnamn och lösenord för olika webbplatser.

Persona autentiserar användare mot webbplatser som stöder systemet genom att bara använda sina existerande e-postadresser.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Användare måste först skapa ett konto på Mozillas persona.org-webbplats, definiera ett lösenord och lägg till en eller flera e-postadresser till sina konton. Ägandet av varje enskild e-postadress bekräftas genom att klicka på en länk som skickas till den.

Därefter är det bara en dubbelklickprocess att logga in på en webbplats som stöder Persona-autentisering. Användare som inte redan är inloggade på persona.org måste ange både deras e-postadress och Persona-lösenord under inloggningsprocessen, medan användare som redan är autentiserade kommer bara att bli ombedda att välja vilken verifierad e-postadress de vill använda.

Persona är begreppsmässigt liknar andra autentiseringssystem som OpenID som också tillåter användare att autentisera på olika webbplatser med verifierade identiteter.

Men Persona är beroende av public key-krypteringsoperationer som utförs på webbläsernivån utan identitetsleverantören - i det här fallet e-postleverantör - är inblandad i den faktiska autentiseringsprocessen som med OpenID.

Detta innebär att Persona ger en högre grad av integritet eftersom systemet inte spårar användarnas aktivitet på webben. "Det skapar en vägg mellan att logga in och vad du gör när du är där. Historien om vilka webbplatser du besöker sparas bara på din egen dator, "Mozilla sa på persona.org-webbplatsen.

Det finns dock vissa nackdelar. Medan man eliminerar behovet av att komma ihåg separata användarnamn och lösenord för varje enskild webbplats skapar Persona en enda punkt av misslyckande - persona.org-lösenordet.

Om en användares Persona-lösenord stulits kan den användas för att imitera dem, Ben Adida, Persona-projektledare i Mozilla, sade torsdagen via e-post. "Det finns självklart inget sätt härom."

I detta avseende är Persona inte mycket annorlunda än lösenordshanteringsapplikationer som också är beroende av ett huvudlösenord för att hålla alla användares identiteter skyddade. Men Mozilla planerar att genomföra ytterligare skyddsmekanismer för att ta itu med denna fråga.

"För förbättrat skydd arbetar vi med tvåfaktorsautentisering i framtida betaversioner", säger Adida. Tvåfaktorsautentisering kräver något som användaren vet, som ett lösenord och något som användaren har, som en hårdvarubutik eller en mobiltelefon. Utan att ha båda dessa element kan en angripare inte få tillgång till ett konto.

Mozilla har också implementerat en sessionskyddsmekanism för att begränsa säkerhetsriskerna som kan uppstå om en användares bärbara dator stulits medan han fortfarande är inloggad i persona. org eller om en användare glömmer att logga ut från persona.org efter att ha använt en offentlig dator.

"Användare behöver helt enkelt ändra sitt lösenord från någon annan dator och eventuella befintliga Persona-sessioner låses sedan ut och kan inte längre vara används för att verifiera användaren, säger Adida.

"När en användare anger sitt persona lösenord på en dator som de inte har använt tidigare är sessionen initialt bara 5 minuter lång," sa han. "Utvidgningen kräver att du skriver in lösenordet igen, vid vilken tidpunkt vi uppmanar användaren att berätta för oss om den här datorn är eller är offentlig."

Persona har fortfarande en lång väg att gå tills det blir ett praktiskt autentiseringsalternativ. Först och främst måste Mozilla övertyga webbutvecklare och viktiga webbtjänstleverantörer att anta systemet och implementera det som ett alternativ till sina webbplatser. För att underlätta detta, lanserades ett nytt och lättare att använda Persona API (applikationsprogrammeringsgränssnitt) i augusti.

"Om du är en utvecklare är det dags att försöka Persona ut. Persona är ett open source-projekt och vi välkomnar gärna inmatning och samarbete från det bredare samhället via vår mailinglista eller vår IRC-kanal, säger Mozilla Identity-teamet torsdag i ett blogginlägg.