Mozilla med beta av Persona-løsningen

Persona var først lansert som et eksperiment med navnet BrowserID i juli i fjor.

Målet var å kvitte seg med behovet for å opprette og holde styr på forskjellige brukernavn og passord for forskjellige nettsteder, skriver Computerworlds nyhetstjeneste.

Den nye løsningen autentiserer brukere som støtter systemet gjennom en eksisterende epostadresse.

Slik fungerer det

For å ta i bruk Persona, må brukere først opprette en ny konto på nettstedet Persona.org , hvor man registrerer epostadresse og passord.

Når informasjonen er bekreftet via en lenke som er sendt til oppgitt adresse, er det enkelt å verifisere seg på nettsteder som bruker Persona.

Man logger på tjenesten med epost og Persona-passord på nettsteder som støtter det nye systemet. Er du allerede logget inn, og er registrert i Persona med flere epostadresser, vil du bli spurt om hvilken adresse du vil bruke på det aktuelle nettstedet.

Mange vil kanskje kjenne igjen konseptet - det er ganske like autentiseringstjenester som for eksempel godt etablerte OpenID. Persona skiller seg ut med bruk av public key-kryptering direkte i nettleser, uavhengig av epostleverandør.

I praksis innebærer det at Persona tilbyr sterkere personvern, fordi aktiviteten ikke loggføres - i motsetning til for eksempel OpenID, hvor epostleverandøren kontaktes i autentiseringsprosessen.

- Det ligger et skille mellom å logge deg på tjenesten og hva du gjør etter du er inne. Historikken over hvilke nettsteder du besøker er bare lagret på din egen maskin, skriver Mozilla på Persona.org.

Kan skape SPOF

Som vanlig er det ikke bare gull selv om det glitrer så kjekt i sola.

Selv om Persona tilbyr en løsning på arbeidet med å holde styr på alle brukernavn og passord en nettbruker gjerne samler opp i løpet av årene, så skaper tjenesten en sikkerhetsrisiko i form av single-point-of-failure - Persona-passordet.

- Dersom noen får tak i en Persona-brukers passord, så kan det brukes til å opptre som den brukeren på nett, sier Ben Adida, prosjektleder for Persona via epost.

- Det er, selvsagt, ingen vei rundt dette, legger han til.

På denne måten skiller Persona seg ikke spesielt ut blant for eksempel passordapplikasjoner som bruker et enkelt masterpassord for å beskytte det sensitive innholdet.

Heldigvis er Mozilla i forkant, og planlegger en måte forebygge denne sikkerhetsutfordringen.

- Vi jobber på to-faktor autentisering for neste beta for å øke beskyttelsen, forteller Adida.

Men to-faktor vil det være nødvendig å identifisere seg med en ekstern enhet, som for eksempel en kodegenerator på mobilen som er koblet mot Persona-kontoen, i tillegg til passordet.

Uten både passord og mobilen som kodegeneratoren befinner seg på, vil det være umulig å "stjele" personakontoen.

Beskytter sesjon

Mozilla har også implementert sesjonsbeskyttelse, for å begrense muligheten til å utgi seg. For andre for eksempel i tillfeller der en bruker blir frastjålet bærbar pc hvor brukeren er logget på tjenesten eller har glemt å logge seg av.

- Brukere kan endre passordet sitt fra hvilken som helst datamaskin, og eksisterende Persona-sesjoner låses, slik at de ike lenger kan brukes til å autentisere brukeren, forteller Adida.

I tillegg vil en bruker som logger seg på tjenesten fra en ny maskin bli bedt om å re-autentisere seg etter fem minutter. Samtidig ber tjenesten deg om å oppgi om du sitter på en delt eller privat maskin.

Siden Persona er i beta, vil det nok være en stund igjen før tjenesten er klar for omfattende bruk. Mozilla håper utviklere og nettsteder vil ta tjenesten i bruk, slik at Persona etter hvert kan bli et trygt og gratis alternativ for sikker og ikke minst enkelt håndtering av identitet på nett.

For å få dette til, har Mozilla nylig lansert et nytt og enkelt API for Persona.

Mozilla håper utviklere vil kaste seg over muligheten, og begynne å bruke Persona for sine tjenester og applikasjoner på nett.

Du kan lese mer om Persona på bloggen Identity at Mozilla.

Se video: Mozilla Persona - Beta