Mozilla lanza la primera versión beta del sistema de autenticación web 'Persona'

Mozilla lanzó la primera versión beta de su sistema de autenticación de sitio web independiente del navegador, Persona, el jueves y espera convencer a la comunidad de desarrolladores web para intentarlo.

El sistema Persona se lanzó por primera vez como un proyecto experimental llamado BrowserID en julio de 2011 con el objetivo de eliminar la necesidad de crear y administrar nombres de usuarios y contraseñas individuales para diferentes sitios web.

Persona autentica a los usuarios contra sitios web que admiten el sistema utilizando solo sus direcciones de correo electrónico existentes.

[Más información: cómo eliminar el malware de su PC con Windows]

Los usuarios deben crear primero una cuenta en el sitio web persona.org de Mozilla, defina una contraseña y agregue una o más direcciones de correo electrónico a sus cuentas. La propiedad de cada dirección de correo electrónico individual se verifica haciendo clic en un enlace que se le envía.

Después de eso, iniciar sesión en un sitio web que admite la autenticación Persona es solo un proceso de dos clics. Los usuarios que aún no han iniciado sesión en persona.org deberán ingresar tanto su correo electrónico como la contraseña de Persona durante el proceso de inicio de sesión, mientras que a los usuarios que ya están autenticados solo se les pedirá que seleccionen qué dirección de correo electrónico verificada desean usar.

Persona es conceptualmente similar a otros sistemas de autenticación como OpenID que también permite a los usuarios autenticarse en diferentes sitios web utilizando identidades verificadas.

Sin embargo, Persona se basa en operaciones de criptografía de clave pública realizadas en el nivel del navegador sin el proveedor de identidad; en este caso proveedor de correo electrónico: participar en el proceso de autenticación real como con OpenID.

Esto significa que Persona proporciona un mayor nivel de privacidad ya que el sistema no rastrea la actividad de sus usuarios en la Web. "Crea un muro entre el momento de registrarte y lo que haces una vez que estás allí". El historial de los sitios que visita se almacena solo en su propia computadora ", dijo Mozilla en el sitio web persona.org.

Sin embargo, hay algunos inconvenientes. Al tiempo que elimina la necesidad de recordar nombres de usuario y contraseñas separados para cada sitio web, Persona crea un único punto de falla: la contraseña de persona.org.

Si se roba la contraseña de Persona de un usuario, se puede suplantar, Ben Adida, El líder del proyecto Persona en Mozilla, dijo el jueves por correo electrónico. "Por supuesto, no hay forma de evitar esto".

A este respecto, Persona no es muy diferente de las aplicaciones de administración de contraseñas que también dependen de una contraseña maestra para mantener todas las identidades del usuario protegidas. Sin embargo, Mozilla planea implementar algunos mecanismos de protección adicionales para abordar este problema.

"Para una mejor protección, estamos trabajando en la autenticación de dos factores en futuras versiones beta", dijo Adida. La autenticación de dos factores requiere algo que el usuario conozca, como una contraseña, y algo que el usuario tenga, como un dispositivo de hardware o un teléfono móvil. Sin tener estos dos elementos, un atacante no puede obtener acceso a una cuenta.

Mozilla también implementó un mecanismo de protección de sesión para limitar los riesgos de seguridad que pueden surgir si se roba la laptop de un usuario mientras todavía está conectado a persona. org o si un usuario olvida cerrar la sesión de persona.org después de usar una computadora pública.

"Los usuarios simplemente necesitan cambiar su contraseña desde cualquier otra computadora, y cualquier sesión existente de Persona se bloquea y ya no se puede se usa para autenticar al usuario ", dijo Adida.

" Cuando un usuario ingresa su contraseña de Persona en una computadora que no ha usado antes, la sesión inicialmente tiene solo 5 minutos de duración ", dijo. "Extenderlo requiere escribir nuevamente la contraseña, momento en el que le pedimos al usuario que nos diga si esta computadora es suya o pública".

Persona todavía tiene un largo camino por recorrer hasta que se convierta en una alternativa de autenticación práctica. En primer lugar, Mozilla necesita convencer a los desarrolladores de sitios web y a los proveedores de servicios web importantes para que adopten el sistema y lo implementen como una opción en sus sitios web. Para facilitar esto, se lanzó en agosto una Persona API (interfaz de programación de aplicaciones) nueva y más fácil de usar.

"Si eres un desarrollador, ahora es el momento de probar Persona out. Persona es un proyecto de código abierto y agradecemos los aportes y la colaboración de la comunidad en general a través de nuestra lista de correo o nuestro canal de IRC ", dijo el equipo de identidad de Mozilla el jueves en una publicación de blog.