Gebruikers adviseren om een uniek en veilig wachtwoord voor elke website te kiezen is volgens Mozilla een niet te winnen gevecht, de open-source ontwikkelaar wil dan ook een einde aan de wirwar van allerlei verschillende gebruikersnamen en wachtwoorden. "Identiteitssystemen op het web zijn een rommeltje", zegt Mozilla-engineer Francois Marier.
Marier sprak tijdens de AusCERT 2013 conferentie. "In 2013 zouden we zeker iets anders dan gebruikersnamen en wachtwoorden moeten hebben om op websites in te loggen. Een oplossing waar het niet nodig is om een centrale autoriteit te vertrouwen", aldus de engineer. "Het blijkt dat het oplossen van het algemene identiteitsprobleem erg lastig is."
Persona
De oplossing waar Mozilla aan werkt is Mozilla Persona, een 'sign-on' technologie waarmee gebruikers kunnen inloggen. Mozilla hoopt dat webontwikkelaars die nieuwe websites bouwen niet hun eigen wachtwoord-infrastructuur gaan uitrollen, maar voor Persona kiezen. Wachtwoorden zijn volgens Marier voornamelijk onveilig en veroorzaken veel overhead bij zowel gebruikers als websitebeheerders.
Om Persona een succes te maken is het uitrollen van de techniek zo eenvoudig mogelijk gemaakt. Een webmaster hoeft alleen het Personana Javascript en de inlog en uitlog callouts te laden en de knoppen op de website toe te voegen. Gebruikers die willen inloggen doen dat niet bij Mozilla, maar kiezen een identiteit waar ze al de toegang toe hebben, meldt CSO Magazine.
Identiteit
In plaats van een gebruikersnaam en wachtwoord op te geven, hoeft de gebruiker alleen maar te bewijzen dat hij de eigenaar van dit bestaande account is. Het kan dan om bijvoorbeeld een Gmail-account gaan. Daardoor hoeven gebruikers hun identiteit niet aan Persona of de onderliggende website bloot te geven, maar alleen aan te tonen dat ze een bestaande relatie met een andere dienst hebben.
Een groot voordeel van deze aanpak is dat Persona nooit een gebruiker associeert met de website die ze bezoeken. Het bezoek is niet gebaseerd op de website, maar op de combinatie van bijvoorbeeld een Gmail-adres met Gmail's publieke PKI-sleutel.
Deze posting is gelocked. Reageren is niet meer mogelijk.