Mozilla verwijst wachtwoord naar het museum
Vertrekpunt van Mozilla’s inlogtechniek is het e-mailadres, 'een identificatiemechanisme dat overal begrepen wordt en handig is voor gebruikers en serviceaanbieders', zoals de MozillaWiki het stelt. Veel sites gebruiken dat e-mailadres ook al voor identificatiedoeleinden: als een gebruiker zijn wachtwoord vergeten is, kan hij het veelal resetten via een per e-mail toegestuurde link.
Shutterstock
Shutterstock
Dat kan slimmer, bedacht men bij Mozilla. Als websites er toch al op vertrouwen dat een bezoeker via e-mail identificeerbaar is, kan hij net zo goed meteen inloggen met zijn e-mailadres. Dat scheelt een websurfer een hoop gedoe met het onthouden van wachtwoorden. En voor de bouwers van sites is het ook simpeler.
Extra maatregelen vereist
Dat vereist natuurlijk wel extra maatregelen om te controleren of de bezoeker ook werkelijk de eigenaar is van het e-mailadres dat hij opgeeft. En daarvoor heeft Mozilla een protocol ontwikkeld: het VerifiedEmailProtocol. Via dat protocol wordt bij inloggen op de mail een bij elkaar passende private en publieke sleutel gegenereerd. De private sleutel wordt toegankelijk gemaakt voor de browser. De publiek sleutel kan opgevaagd worden bij de mailprovider, of bij een derde partij als de mailprovider niet in het programma wenst te participeren.
Een bezoeker kan zijn identiteit vervolgens eenvoudig bewijzen door zijn sleutel en het adres van zijn mailprovider aan de website te presenteren. De website kan dan de identiteit verifiëren via een zogeheten Webfinger-lookup bij de mailprovider of verificatiedienst. Om een en ander te illustreren, heeft Mozilla een videofilmpje geproduceerd.
Veiliger dan wachtwoordbeheer door derden
Een dergelijke opzet heeft duidelijke voordelen, stelt Mozilla. Het voordeel boven inlogdiensten zoals Facebook, Google en Twitter die aanbieden is, dat er helemaal geen inloginformatie vastgelegd hoeft te worden bij derden. Er is ook geen sprake van lock-in, zoals bij dergelijke identiteitsbeheerdiensten al snel optreedt. Websurfers hoeven niet zoals bij initiatieven als OpenID een aparte inlog te onthouden, en uitbaters van websites kunnen bezoekers een veel simpeler inlogmethode bieden.
Voor ontwikkelaars is het ook niet veel werk. Er is maar zeer weinig code voor nodig, en die kan gewoon bij Mozilla worden gedownload.
Het is nog de vraag of mailproviders meewerken
Mozilla heeft BrowserID nog niet als inlogmethode gelanceerd. Het wil eerst reacties afwachten op de onderliggende technologie. Daarnaast zal het de bereidheid moeten peilen bij de mailproviders om mee te werken. Als het idee daar niet aanslaat, zal Mozilla zich moeten beraden op de vraag, hoe het los van die providers de verificatie op kan zetten. Technisch is dat wel mogelijk, maar de vraag is natuurlijk wie daarvoor het geld op tafel legt, en hoe je de kwaliteit en de betrouwbaarheid van zo’n dienst bewijst en borgt.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee