Mozilla запускает первую бета-версию системы проверки подлинности веб-сайта «Persona»

Mozilla запустила первую бета-версию своей независимой от браузера системы аутентификации веб-сайта Persona в четверг и надеется убедить сообщество веб-разработчиков чтобы попробовать.

Система Persona впервые была запущена в качестве экспериментального проекта под названием BrowserID в июле 2011 года с целью устранения необходимости создания и управления отдельными именами пользователей и паролями для разных веб-сайтов.

Persona аутентифицирует пользователей против сайты, поддерживающие систему, используя только существующие адреса электронной почты.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Пользователям необходимо сначала создать учетную запись на сайте persona.org Mozilla, определить пароль и добавить один или несколько адресов электронной почты в свои учетные записи. Владение каждым отдельным адресом электронной почты проверяется щелчком по ссылке, присланной ему.

После этого, подписывание на веб-сайт, поддерживающий аутентификацию Persona, - это всего лишь процесс с двумя щелчками мыши. Пользователи, которые еще не вошли в persona.org, должны будут вводить как свой пароль электронной почты, так и пароль Persona во время процесса входа в систему, а пользователям, которые уже прошли проверку подлинности, будет предложено выбрать, какой проверенный адрес электронной почты они хотят использовать.

Persona концептуально похожа на другие системы аутентификации, такие как OpenID, которые также позволяют пользователям проходить аутентификацию на разных веб-сайтах с использованием проверенных идентификаторов.

Однако Persona полагается на операции шифрования открытого ключа, выполняемые на уровне браузера без поставщика идентификации, - в этом случае поставщик электронной почты, участвующий в фактическом процессе аутентификации, как с OpenID.

Это означает, что Persona обеспечивает более высокий уровень конфиденциальности, поскольку система не отслеживает активность своих пользователей через Интернет. «Это создает стену между подписанием вами и тем, что вы делаете, когда будете там. История того, какие сайты вы посещаете, хранится только на вашем собственном компьютере », - сказал Mozilla на веб-сайте persona.org.

Однако есть некоторые недостатки. Устраняя необходимость запоминать отдельные имена пользователей и пароли для каждого отдельного сайта, Persona создает единую точку отказа - пароль persona.org.

Если пользовательский пароль Persona украден, его можно использовать для выдачи себя за него, Бен Адиды, Личный проект возглавил Mozilla, заявил в четверг по электронной почте. «Конечно, нет никакого способа обойти это».

В этом отношении Persona не очень отличается от приложений управления паролями, которые также полагаются на главный пароль, чтобы защитить все защищенные идентификаторы пользователя. Однако Mozilla планирует внедрить некоторые дополнительные механизмы защиты для решения этой проблемы.

«Для улучшения защиты мы работаем над двухфакторной аутентификацией в будущих бета-версиях», - сказала Адида. Двухфакторная аутентификация требует того, что пользователь знает, как пароль, и того, что пользователь имеет, например, аппаратное устройство или мобильный телефон. Без наличия обоих этих элементов злоумышленник не может получить доступ к учетной записи.

Mozilla также внедрила механизм защиты сеанса, чтобы ограничить риски безопасности, которые могут возникнуть, если ноутбук пользователя украден, пока он все еще вошел в личный кабинет. org или если пользователь забывает выйти из persona.org после использования общедоступного компьютера.

«Пользователям просто нужно сменить свой пароль с любого другого компьютера, и любые существующие сеансы Persona затем блокируются и больше не могут быть используется для аутентификации пользователя », - сказала Адида.

« Когда пользователь вводит свой пароль Persona на компьютер, который раньше не использовался, сеанс изначально длится всего 5 минут », - сказал он. «Для его расширения требуется снова ввести пароль, после чего мы попросим пользователя рассказать нам, является ли этот компьютер его или публичным».

Персона все еще предстоит пройти долгий путь, пока не станет практической альтернативой аутентификации. Прежде всего, Mozilla должен убедить разработчиков веб-сайтов и важных поставщиков веб-сервисов принять систему и реализовать ее как вариант на своих сайтах. Чтобы облегчить это, в августе был запущен новый и простой в использовании интерфейс Persona API (интерфейс прикладного программирования).

«Если вы разработчик, пришло время попробовать« Личность ». Persona - это проект с открытым исходным кодом, и мы с радостью приветствуем вклад и сотрудничество со стороны более широкого сообщества через наш список рассылки или наш канал IRC », - заявила в среду сообщение в Mozilla Identity в блоге.