Mozilla wil online wachtwoorden elimineren
Gebruikers adviseren om een uniek en veilig wachtwoord voor elke website te kiezen is volgens Mozilla een niet te winnen gevecht, de open-source ontwikkelaar wil dan ook een einde aan de wirwar van allerlei verschillende gebruikersnamen en wachtwoorden. "Identiteitssystemen op het web zijn een rommeltje", zegt Mozilla-engineer Francois Marier.
Marier sprak tijdens de AusCERT 2013 conferentie. "In 2013 zouden we zeker iets anders dan gebruikersnamen en wachtwoorden moeten hebben om op websites in te loggen. Een oplossing waar het niet nodig is om een centrale autoriteit te vertrouwen", aldus de engineer. "Het blijkt dat het oplossen van het algemene identiteitsprobleem erg lastig is."
Persona
De oplossing waar Mozilla aan werkt is Mozilla Persona, een 'sign-on' technologie waarmee gebruikers kunnen inloggen. Mozilla hoopt dat webontwikkelaars die nieuwe websites bouwen niet hun eigen wachtwoord-infrastructuur gaan uitrollen, maar voor Persona kiezen. Wachtwoorden zijn volgens Marier voornamelijk onveilig en veroorzaken veel overhead bij zowel gebruikers als websitebeheerders.
Om Persona een succes te maken is het uitrollen van de techniek zo eenvoudig mogelijk gemaakt. Een webmaster hoeft alleen het Personana Javascript en de inlog en uitlog callouts te laden en de knoppen op de website toe te voegen. Gebruikers die willen inloggen doen dat niet bij Mozilla, maar kiezen een identiteit waar ze al de toegang toe hebben, meldt CSO Magazine.
Identiteit
In plaats van een gebruikersnaam en wachtwoord op te geven, hoeft de gebruiker alleen maar te bewijzen dat hij de eigenaar van dit bestaande account is. Het kan dan om bijvoorbeeld een Gmail-account gaan. Daardoor hoeven gebruikers hun identiteit niet aan Persona of de onderliggende website bloot te geven, maar alleen aan te tonen dat ze een bestaande relatie met een andere dienst hebben.
Een groot voordeel van deze aanpak is dat Persona nooit een gebruiker associeert met de website die ze bezoeken. Het bezoek is niet gebaseerd op de website, maar op de combinatie van bijvoorbeeld een Gmail-adres met Gmail's publieke PKI-sleutel.
Ik wil helemaal niet gedwongen worden accounts van verschillende websites voor elkaar te gebruiken. Snap dat dan.
Ik ken ze allemaal uit mijn hoofd,dus als ik op een van de geregistreerde sites moet,dan kan ik dat.
Ik wil niet dat mozilla er voor kiest,dat ik dan via hen ineens moet gaan inloggen.
--
Right, tot die gehacked wordt..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
