Mozilla startet erste Beta-Version des Webseiten-Authentifizierungssystems 'Persona'

Mozilla startete am Donnerstag die erste Beta-Version seines browserunabhängigen Website-Authentifizierungssystems Persona und hofft, die Web-Entwickler-Community zu überzeugen

Das Persona-System wurde erstmals im Juli 2011 als experimentelles Projekt mit dem Namen BrowserID gestartet, mit dem Ziel, individuelle Benutzernamen und Kennwörter für verschiedene Websites zu erstellen und zu verwalten.

Persona authentifiziert Benutzer dagegen Websites, die das System nur mit ihren vorhandenen E-Mail-Adressen unterstützen.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Benutzer müssen zuerst erstellen ein Konto auf Mozillas Website persona.org, ein Passwort festlegen und eine oder mehrere E-Mail-Adressen zu ihren Konten hinzufügen. Der Besitz jeder einzelnen E-Mail-Adresse wird überprüft, indem auf einen Link geklickt wird.

Danach ist die Anmeldung bei einer Website, die die Persona-Authentifizierung unterstützt, nur ein Zwei-Klick-Prozess. Benutzer, die noch nicht bei persona.org angemeldet sind, müssen während des Anmeldevorgangs sowohl ihre E-Mail-Adresse als auch ihr Persona-Passwort eingeben, während Benutzer, die bereits authentifiziert sind, nur aufgefordert werden, die verifizierte E-Mail-Adresse auszuwählen, die sie verwenden möchten > Persona ist konzeptionell ähnlich wie andere Authentifizierungssysteme wie OpenID, die es Benutzern auch erlauben, sich auf verschiedenen Websites mit verifizierten Identitäten zu authentifizieren.

Persona vertraut jedoch auf Public-Key-Verschlüsselungsoperationen auf Browser-Ebene ohne den Identity-Provider - in diesem Fall den E-Mail-Provider - wie bei OpenID am eigentlichen Authentifizierungsprozess beteiligt.

Dies bedeutet, dass Persona ein höheres Datenschutzniveau bietet, da das System die Aktivitäten seiner Benutzer im Web nicht verfolgt. "Es schafft eine Mauer zwischen der Anmeldung und dem, was du tust, wenn du einmal da bist. Die Geschichte der Websites, die Sie besuchen, wird nur auf Ihrem eigenen Computer gespeichert ", sagte Mozilla auf der Website von persona.org.

Es gibt jedoch einige Nachteile. Während die Notwendigkeit entfällt, sich getrennte Benutzernamen und Passwörter für jede einzelne Website zu merken, erstellt Persona einen einzigen Fehlerpunkt - das Passwort von persona.org.

Wenn das Persona-Passwort eines Benutzers gestohlen wird, kann es verwendet werden, um sich auszudrücken, Ben Adida, Persona Projektleiter bei Mozilla, sagte Donnerstag per E-Mail. "Es gibt natürlich keinen anderen Weg."

In dieser Hinsicht unterscheidet sich Persona nicht sehr von Passwort-Management-Anwendungen, die sich auch auf ein Master-Passwort verlassen, um alle Identitäten des Benutzers geschützt zu halten. Mozilla plant jedoch, einige zusätzliche Schutzmechanismen zu implementieren, um dieses Problem anzugehen.

"Für einen besseren Schutz arbeiten wir in zukünftigen Beta-Versionen an der Zwei-Faktor-Authentifizierung", sagte Adida. Zwei-Faktor-Authentifizierung erfordert etwas, das der Benutzer kennt, wie ein Passwort, und etwas, das der Benutzer hat, wie ein Hardwaregerät oder ein Mobiltelefon. Ohne diese beiden Elemente kann ein Angreifer keinen Zugriff auf ein Konto erhalten.

Mozilla hat auch einen Sitzungsschutzmechanismus implementiert, um die Sicherheitsrisiken zu begrenzen, die entstehen können, wenn der Laptop eines Benutzers gestohlen wird, während er noch in der Rolle ist. org oder wenn ein Benutzer vergisst, sich von persona.org abzumelden, nachdem er einen öffentlichen Computer benutzt hat.

"Benutzer müssen einfach ihr Passwort von jedem anderen Computer ändern, und alle bestehenden Persona-Sitzungen sind dann gesperrt und können nicht mehr sein "Adida hat gesagt.

" Wenn ein Benutzer sein Persona-Passwort auf einem Computer eingibt, den er vorher nicht benutzt hat, ist die Sitzung anfänglich nur 5 Minuten lang ", sagte er. "Um es zu erweitern, muss das Passwort erneut eingegeben werden. An diesem Punkt bitten wir den Benutzer, uns mitzuteilen, ob dieser Computer ihnen gehört oder öffentlich ist."

Persona hat noch einen langen Weg vor sich, bis es eine praktische Authentifizierungsalternative wird. Zuallererst muss Mozilla Website-Entwickler und wichtige Web-Service-Provider davon überzeugen, das System zu übernehmen und als Option in ihre Websites zu implementieren. Um dies zu erleichtern, wurde im August eine neue und benutzerfreundlichere Persona API (Anwendungsprogrammierschnittstelle) eingeführt.

"Wenn Sie ein Entwickler sind, ist es jetzt an der Zeit, Persona auszuprobieren. Persona ist ein Open-Source-Projekt, und wir freuen uns über Input und Zusammenarbeit aus der breiteren Community über unsere Mailingliste oder unseren IRC-Kanal ", sagte das Mozilla Identity-Team am Donnerstag in einem Blogbeitrag.