Nieuws

Mozilla wil online wachtwoorden elimineren

maandag 27 mei 2013, 17:29 door Redactie, 8 reacties

Gebruikers adviseren om een uniek en veilig wachtwoord voor elke website te kiezen is volgens Mozilla een niet te winnen gevecht, de open-source ontwikkelaar wil dan ook een einde aan de wirwar van allerlei verschillende gebruikersnamen en wachtwoorden. "Identiteitssystemen op het web zijn een rommeltje", zegt Mozilla-engineer Francois Marier.

Marier sprak tijdens de AusCERT 2013 conferentie. "In 2013 zouden we zeker iets anders dan gebruikersnamen en wachtwoorden moeten hebben om op websites in te loggen. Een oplossing waar het niet nodig is om een centrale autoriteit te vertrouwen", aldus de engineer. "Het blijkt dat het oplossen van het algemene identiteitsprobleem erg lastig is."

Persona
De oplossing waar Mozilla aan werkt is Mozilla Persona, een 'sign-on' technologie waarmee gebruikers kunnen inloggen. Mozilla hoopt dat webontwikkelaars die nieuwe websites bouwen niet hun eigen wachtwoord-infrastructuur gaan uitrollen, maar voor Persona kiezen. Wachtwoorden zijn volgens Marier voornamelijk onveilig en veroorzaken veel overhead bij zowel gebruikers als websitebeheerders.

Om Persona een succes te maken is het uitrollen van de techniek zo eenvoudig mogelijk gemaakt. Een webmaster hoeft alleen het Personana Javascript en de inlog en uitlog callouts te laden en de knoppen op de website toe te voegen. Gebruikers die willen inloggen doen dat niet bij Mozilla, maar kiezen een identiteit waar ze al de toegang toe hebben, meldt CSO Magazine.

Identiteit
In plaats van een gebruikersnaam en wachtwoord op te geven, hoeft de gebruiker alleen maar te bewijzen dat hij de eigenaar van dit bestaande account is. Het kan dan om bijvoorbeeld een Gmail-account gaan. Daardoor hoeven gebruikers hun identiteit niet aan Persona of de onderliggende website bloot te geven, maar alleen aan te tonen dat ze een bestaande relatie met een andere dienst hebben.

Een groot voordeel van deze aanpak is dat Persona nooit een gebruiker associeert met de website die ze bezoeken. Het bezoek is niet gebaseerd op de website, maar op de combinatie van bijvoorbeeld een Gmail-adres met Gmail's publieke PKI-sleutel.

'Ontwerp Joint Strike Fighter gestolen door hackers'

Facebook-app lekt per ongeluk privéfoto's

Reacties (8)

27-05-2013, 17:36 door Anoniem

"Het blijkt dat het oplossen van het algemene identiteitsprobleem erg lastig is."

Goh, hoe zou dat nou komen? Wellicht omdat heel de industrie zich als een ambtenaar blijft vastklampen aan onredelijke en onhoudbare aannames? On-mo-ge-lijk zeg je? Pfft.

Ik wil helemaal niet gedwongen worden accounts van verschillende websites voor elkaar te gebruiken. Snap dat dan.

27-05-2013, 17:56 door Anoniem

Stom gelul,laat mensen zelf kiezen bij welke site bij een registratie welk wachtwoord ze kiezen.
Ik ken ze allemaal uit mijn hoofd,dus als ik op een van de geregistreerde sites moet,dan kan ik dat.
Ik wil niet dat mozilla er voor kiest,dat ik dan via hen ineens moet gaan inloggen.

27-05-2013, 18:03 door Anoniem

klinkt goed, als ze nu ook nog eens de gebruikersnamen en wachtwoorden in de browser encrypten met 512 aes dan wordt het voor hackers en malware een stuk lastiger. maar dit is maar weer een goede stap in de richting.

27-05-2013, 18:19 door Anoniem

Het leuke van Persona is dat het helemaal onafhankelijk van Mozilla is op te zetten, en dat inderdaad zoals in het artikel vermeld de identiteitsprovider niet weet welke sites je allemaal bezoekt. Dat is privacy die geen een andere identiteitsprovider op dit moment biedt.

28-05-2013, 00:34 door Anoniem

Je krijgt dan weer een tussenschakel tussen site en gebruiker, en dus meer *in*transparantie. Houd het simpel: hier de gebruiker, daar de site, en gebruikernaam plus wachtwoord als toegangsmiddel. Gaat er iets fout, dan is duidelijk waar de aansprakelijkheid ligt. Extra voordeel: de boel blijft decentraal, fouten en storingen beïnvloeden elkaar niet, en de gebruiker is veel minder kwetsbaar.

28-05-2013, 09:48 door Anoniem

Nou prima, maar waar kan ik de authenticatie server downloaden? Dan host ik hem zelf, weet ik zeker dat het betrouwbaar is.

28-05-2013, 10:17 door spatieman

Een oplossing waar het niet nodig is om een centrale autoriteit te vertrouwen", aldus de engineer.
--
Right, tot die gehacked wordt..

28-05-2013, 16:49 door Anoniem

Zou Mozilla, net als Google, nu ook graag in onze gegevens gaan snuffelen? :S

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer