Mozilla周四推出了独立于浏览器的网站身份验证系统Persona的第一个测试版本,并希望说服Web开发人员社区来试一试
Persona系统于2011年7月首次推出,名为BrowserID,目的是消除为不同网站创建和管理个人用户名和密码的需求。
Persona对用户进行身份验证通过仅使用其现有电子邮件地址来支持系统的网站。
[更多阅读:如何从Windows PC删除恶意软件]用户需要先创建Mozilla的persona.org网站上的一个帐户,定义一个密码并添加一个或多个电子邮件地址到他们的帐户。每个单独的电子邮件地址的所有权通过点击发送给它的链接进行验证。
之后,登录支持Persona认证的网站只需双击即可。未登录到persona.org的用户需要在登录过程中输入他们的电子邮件和用户名和密码,而已经通过身份验证的用户只会被要求选择他们想要使用的经过验证的电子邮件地址。
Persona在概念上与其他认证系统(如OpenID)类似,它们还允许用户使用经过验证的身份在不同网站上进行身份验证。
然而,Persona依赖于在浏览器级别执行的公钥加密操作,而无需身份提供商电子邮件提供商 - 与OpenID一样参与实际身份验证过程
这意味着,Persona提供更高级别的隐私,因为系统不会跟踪其Web用户的活动。 “它在签署你和你在那里之后做了什么之间创造了一堵墙。您访问的网站的历史记录仅存储在您自己的计算机上,“Mozilla在persona.org网站上表示,
然而,存在一些缺点。虽然无需记住每个网站的单独用户名和密码,但Persona会创建一个单点故障 - persona.org密码。
如果用户的Persona密码被盗,可用于模拟它们,Ben Adida, Persona项目负责人周四在电子邮件中表示。 “当然,没有办法解决这个问题。”
在这方面,Persona与密码管理应用程序并没有太大的区别,它们也依赖主密码来保护所有用户的身份。但是,Mozilla计划实施一些额外的保护机制来解决这个问题。“为了改进保护,我们正在进行未来beta版中的双因素身份验证,”Adida说。双因素身份验证需要用户知道的内容,如密码和用户拥有的内容,如硬件设备或移动电话。如果没有这两个元素,攻击者将无法访问帐户。
Mozilla还实施了会话保护机制,以限制在用户笔记本电脑在登录角色时被盗的安全风险。 org,或者用户在使用公共计算机后忘记注销persona.org
“用户只需要从任何其他计算机上更改密码,并且任何现有的角色会话都会被锁定,并且不能再用于验证用户,“Adida说,”当用户在他们以前没有使用过的计算机上输入他们的Persona密码时,会话最初只有5分钟的时间,“他说。 “扩展它需要再次输入密码,此时我们会提示用户告诉我们这台计算机是他们的还是公共的。”
角色仍然有很长的路要走,直到它成为一个实际的认证选择。首先,Mozilla需要说服网站开发人员和重要的Web服务提供商采用该系统并将其作为他们网站的一个选项实施。为了实现这一点,8月份推出了一个新的,更易于使用的Persona API(应用程序编程接口)。
“如果您是开发人员,现在可以试用Persona了。 Persona是一个开源项目,我们很高兴欢迎来自更广泛社区的输入和协作,通过我们的邮件列表或我们的IRC频道,“Mozilla身份团队星期四在一篇博客文章中表示。