image

Mozilla wil online wachtwoorden elimineren

maandag 27 mei 2013, 17:29 door Redactie, 8 reacties

Gebruikers adviseren om een uniek en veilig wachtwoord voor elke website te kiezen is volgens Mozilla een niet te winnen gevecht, de open-source ontwikkelaar wil dan ook een einde aan de wirwar van allerlei verschillende gebruikersnamen en wachtwoorden. "Identiteitssystemen op het web zijn een rommeltje", zegt Mozilla-engineer Francois Marier.

Marier sprak tijdens de AusCERT 2013 conferentie. "In 2013 zouden we zeker iets anders dan gebruikersnamen en wachtwoorden moeten hebben om op websites in te loggen. Een oplossing waar het niet nodig is om een centrale autoriteit te vertrouwen", aldus de engineer. "Het blijkt dat het oplossen van het algemene identiteitsprobleem erg lastig is."

Persona
De oplossing waar Mozilla aan werkt is Mozilla Persona, een 'sign-on' technologie waarmee gebruikers kunnen inloggen. Mozilla hoopt dat webontwikkelaars die nieuwe websites bouwen niet hun eigen wachtwoord-infrastructuur gaan uitrollen, maar voor Persona kiezen. Wachtwoorden zijn volgens Marier voornamelijk onveilig en veroorzaken veel overhead bij zowel gebruikers als websitebeheerders.

Om Persona een succes te maken is het uitrollen van de techniek zo eenvoudig mogelijk gemaakt. Een webmaster hoeft alleen het Personana Javascript en de inlog en uitlog callouts te laden en de knoppen op de website toe te voegen. Gebruikers die willen inloggen doen dat niet bij Mozilla, maar kiezen een identiteit waar ze al de toegang toe hebben, meldt CSO Magazine.

Identiteit
In plaats van een gebruikersnaam en wachtwoord op te geven, hoeft de gebruiker alleen maar te bewijzen dat hij de eigenaar van dit bestaande account is. Het kan dan om bijvoorbeeld een Gmail-account gaan. Daardoor hoeven gebruikers hun identiteit niet aan Persona of de onderliggende website bloot te geven, maar alleen aan te tonen dat ze een bestaande relatie met een andere dienst hebben.

Een groot voordeel van deze aanpak is dat Persona nooit een gebruiker associeert met de website die ze bezoeken. Het bezoek is niet gebaseerd op de website, maar op de combinatie van bijvoorbeeld een Gmail-adres met Gmail's publieke PKI-sleutel.

Reacties (8)
27-05-2013, 17:36 door Anoniem
"Het blijkt dat het oplossen van het algemene identiteitsprobleem erg lastig is."
Goh, hoe zou dat nou komen? Wellicht omdat heel de industrie zich als een ambtenaar blijft vastklampen aan onredelijke en onhoudbare aannames? On-mo-ge-lijk zeg je? Pfft.

Ik wil helemaal niet gedwongen worden accounts van verschillende websites voor elkaar te gebruiken. Snap dat dan.
27-05-2013, 17:56 door Anoniem
Stom gelul,laat mensen zelf kiezen bij welke site bij een registratie welk wachtwoord ze kiezen.
Ik ken ze allemaal uit mijn hoofd,dus als ik op een van de geregistreerde sites moet,dan kan ik dat.
Ik wil niet dat mozilla er voor kiest,dat ik dan via hen ineens moet gaan inloggen.
27-05-2013, 18:03 door Anoniem
klinkt goed, als ze nu ook nog eens de gebruikersnamen en wachtwoorden in de browser encrypten met 512 aes dan wordt het voor hackers en malware een stuk lastiger. maar dit is maar weer een goede stap in de richting.
27-05-2013, 18:19 door Anoniem
Het leuke van Persona is dat het helemaal onafhankelijk van Mozilla is op te zetten, en dat inderdaad zoals in het artikel vermeld de identiteitsprovider niet weet welke sites je allemaal bezoekt. Dat is privacy die geen een andere identiteitsprovider op dit moment biedt.
28-05-2013, 00:34 door Anoniem
Je krijgt dan weer een tussenschakel tussen site en gebruiker, en dus meer *in*transparantie. Houd het simpel: hier de gebruiker, daar de site, en gebruikernaam plus wachtwoord als toegangsmiddel. Gaat er iets fout, dan is duidelijk waar de aansprakelijkheid ligt. Extra voordeel: de boel blijft decentraal, fouten en storingen beïnvloeden elkaar niet, en de gebruiker is veel minder kwetsbaar.
28-05-2013, 09:48 door Anoniem
Nou prima, maar waar kan ik de authenticatie server downloaden? Dan host ik hem zelf, weet ik zeker dat het betrouwbaar is.
28-05-2013, 10:17 door spatieman
Een oplossing waar het niet nodig is om een centrale autoriteit te vertrouwen", aldus de engineer.
--
Right, tot die gehacked wordt..
28-05-2013, 16:49 door Anoniem
Zou Mozilla, net als Google, nu ook graag in onze gegevens gaan snuffelen? :S
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.