Mozilla lancia la prima versione beta del sistema di autenticazione del sito web "Persona"

Mozilla ha lanciato la prima versione beta del suo sistema di autenticazione del sito web indipendente dal browser, Persona, giovedì e spera di convincere la comunità degli sviluppatori Web

Il sistema Persona è stato lanciato inizialmente come progetto sperimentale chiamato BrowserID nel luglio 2011 con l'obiettivo di eliminare la necessità di creare e gestire singoli nomi utente e password per diversi siti Web.

Persona autentica gli utenti contro siti Web che supportano il sistema utilizzando solo i loro indirizzi e-mail esistenti.

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Gli utenti devono prima creare un account sul sito web persona.org di Mozilla, definire una password e aggiungere uno o più indirizzi email ai propri account. La proprietà di ogni singolo indirizzo e-mail viene verificata facendo clic su un collegamento inviato.

Successivamente, l'accesso a un sito Web che supporta l'autenticazione Persona è solo un processo in due clic. Gli utenti che non sono già registrati in persona.org dovranno inserire sia la propria password email che Persona durante la procedura di accesso, mentre agli utenti già autenticati verrà chiesto di selezionare solo l'indirizzo email verificato che si desidera utilizzare.

Persona è concettualmente simile ad altri sistemi di autenticazione come OpenID che consentono agli utenti di autenticare su diversi siti Web usando identità verificate.

Tuttavia, Persona si basa su operazioni di crittografia a chiave pubblica eseguite a livello di browser senza il provider di identità, in questo caso il provider di posta elettronica - coinvolto nel processo di autenticazione vero e proprio come con OpenID.

Ciò significa che Persona fornisce un maggiore livello di privacy in quanto il sistema non traccia l'attività dei propri utenti sul Web. "Crea un muro tra il firmarti e quello che fai una volta che sei lì. La cronologia dei siti che visiti è memorizzata solo sul tuo computer ", ha detto Mozilla sul sito di persona.org.

Tuttavia, ci sono alcuni inconvenienti. Eliminando la necessità di ricordare nomi utente e password separati per ogni singolo sito Web, Persona crea un singolo punto di errore: la password persona.org.

Se la password Persona dell'utente viene rubata, può essere usata per impersonarli, Ben Adida, Responsabile del progetto Persona in Mozilla, ha dichiarato giovedì via email. "Ovviamente, non c'è modo di aggirare questo."

A questo riguardo, Persona non è molto diversa dalle applicazioni di gestione password che si basano anche su una password principale per mantenere tutte le identità dell'utente protette. Tuttavia, Mozilla prevede di implementare alcuni meccanismi di protezione aggiuntivi per affrontare questo problema.

"Per una migliore protezione, stiamo lavorando all'autenticazione a due fattori nelle future versioni beta", ha detto Adida. L'autenticazione a due fattori richiede qualcosa che l'utente conosce, come una password e qualcosa che l'utente ha, come un dispositivo hardware o un telefono cellulare. Senza avere entrambi questi elementi, un utente malintenzionato non può accedere a un account.

Mozilla ha anche implementato un meccanismo di protezione della sessione per limitare i rischi per la sicurezza che possono sorgere se un laptop dell'utente viene rubato mentre è ancora connesso a persona. org o se un utente dimentica di uscire da persona.org dopo aver usato un computer pubblico.

"Gli utenti devono semplicemente cambiare la loro password da qualsiasi altro computer, e tutte le sessioni di Persona esistenti vengono bloccate e non possono più essere utilizzato per autenticare l'utente ", ha detto Adida.

" Quando un utente immette la sua password Persona su un computer che non ha utilizzato prima, la sessione è inizialmente di soli 5 minuti ", ha affermato. "Per estenderlo è necessario digitare nuovamente la password, a questo punto chiediamo all'utente di dirci se questo computer è di loro o è pubblico."

La persona ha ancora una lunga strada da percorrere finché non diventa un'alternativa pratica di autenticazione. Innanzitutto, Mozilla ha bisogno di convincere gli sviluppatori di siti Web e importanti provider di servizi Web ad adottare il sistema e implementarlo come opzione nei loro siti web. Per facilitare questo, nel mese di agosto è stata lanciata una Persona API (interfaccia di programmazione dell'applicazione) nuova e più facile da usare.

"Se sei uno sviluppatore, ora è il momento di provare Persona fuori. Persona è un progetto open source e accogliamo volentieri input e collaborazione dalla comunità più ampia tramite la nostra mailing list o il nostro canale IRC ", ha detto il team di Mozilla Identity giovedì in un post sul blog.