Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 13 reacties

Mozilla heeft aangekondigd te gaan stoppen met zijn authenticatiesoftware Persona. Persona.org en alle daaraan verbonden domeinen worden op 30 november uit de lucht gehaald. Tot die tijd wordt het programma wel onderhouden.

PersonaMozilla's Persona is een overkoepelend inlogsysteem waarmee het mogelijk is om in te loggen op alle websites die het programma geïmplementeerd hebben. Hiervoor heeft het maar één wachtwoord en e-mailadres nodig, in plaats van één per website. Hierin is het vergelijkbaar met andere software zoals OpenID. Persona bestaat sinds juli 2011 en zal zijn diensten beëindigen op 30 november 2016. Tot die datum blijft Mozilla onderhoudsondersteuning bieden.

Aan websites die gebruikmaken van Persona als inlogmethode geeft Mozilla aan dat ze op zoek moeten naar alternatieven voor hun gebruikers. Volgens Mozilla wordt dit proces makkelijker gemaakt doordat Persona gebruikmaakt van geverifieerde e-mailadressen, die meegenomen kunnen worden naar een nieuw systeem.

Na 30 november sluit Mozilla het persona.org-domein en alle daaraan verbonden diensten. Het bedrijf zal wel de domeinen zelf houden en niet doorgeven aan andere partijen. Ook wordt de data die Persona heeft opgeslagen niet doorverkocht. Volgens Mozilla wordt alle gebruikersinformatie vernietigd.

In 2014 droeg Mozilla de ontwikkeling van Persona over aan de community. Op dat moment hield de echte ontwikkeling van het programma al op. Na nog twee jaar op deze basis verder te zijn gegaan heeft Mozilla aangegeven dat er simpelweg niet genoeg animo voor Persona is. De ontwikkelaars achter de software gaan verder met andere projecten.

Moderatie-faq Wijzig weergave

Reacties (13)

Dit was al gedoemd om te mislukken als ze vereisen dat individuele websites moeite gaan steken in het inbouwen van een inlogmethode. De enige die zoiets waar kunnen maken zijn online partijen waar een groot deel van het internet al een account heeft, zoals google en facebook.

Dit is gewoon een kip-en-ei verhaal voor startups zoals deze die geen accounts en geen integraties hebben. Niemand maakt een account aan als het nergens geïmplementeerd is en niemand implementeert iets dat geen gebruikers heeft.
Je kan bij Persona ook met social login providers als Google, LinkedIn, Facebook, etc inloggen. Dat werkte heel goed. Ik denk dat het animoprobleem is veroorzaakt doordat je als website net zo goed een social-login library of - plugin kon implementeren met je eigen branding, zonder de Persona branding.
Of je raadt mensen gewoon aan om een wachtwoord-beheerprogramma als add-on in hun bladeraar te installeren, zoals Lastpass. Dat werkt op elke website zonder dat die iets hoeft te implementeren. Alleen duurt het inloggen dan misschien nog een pietsje langer (even wachten tot de pagina herlaadt), maar dat is nauwelijks een significant nadeel boven Persona, lijkt me.
Als je de inlogmogelijkheid inbouwt in veelgebruikte forum- en blogsoftware heb je de meeste inloggers al te pakken. Je ziet die nu ook al de Facebook-login gebruiken.
Toch behoorlijk onbegrijpelijk dat dit soort dingen niet van de grond komen. Het lost precies de problemen op waar de meeste mensen mee zitten: minder wachtwoorden, niet afhankelijk van Facebook of Google (die vergelijkbare dingen doen, maar met een ander motief). En toch gaat niemand het gebruiken. Voor applicatie developers lijkt het me een kleine moeite: de meesten bieden al de optie om te kiezen uit Facebook, Google, LinkedIn of Twitter authenticatie. Dan kan je ook wel een andere optie toevoegen (en die zelfs een beetje promoten).
Misschien omdat b.v. Lastpass bijna net zo goed werkt en sowieso al 99.9% van alle websites ondersteunt... Ik heb niet echt behoefte aan een ander systeem.
Erg jammer, toevallig was er vanuit de community nog geen maand gelezen een oproep aan Mozilla om het juist nieuw leven in te blazen*. Het mooie van Persona is dat het helemaal gedecentraliseerd is (althans, zover is het in de praktijk zonder andere aanbieders helaas nooit gekomen, maar technisch was het zo opgezet) en de aanbieder van de authenticatie, in eerste instantie dus Mozilla, niet weet op welke websites je allemaal inlogt.

* https://news.ycombinator.com/item?id=10787972
Ik vind dat zulke algemene inlogs verdere gevaren gevaren met zich meebrengt. Aan de negatieve kant als een kwaadwillende hacker het voor elkaar krijgt om persona te hacken heeft deze toegang tot potentiële vele sites met inloggegevens. Nu ga ik er wel vanuit dat de beveiliging degelijk is, maar het gevaar loert altijd. Overigens heeft persona niet genoeg animo om het een praktisch voorbeeld te zijn, maar toch vind ik het punt.
Aan de andere kant als een ethische hacker erin komt hoort het probleem snel verholpen te zijn waardoor het eerste punt less likely is. Hoe dan ook, ik twijfel altijd met zulke logins, zelfs als het van een grote corporatie als Google of Facebook komt.
"Na nog twee jaar op deze basis verder te zijn gegaan heeft Mozilla aangegeven dat er simpelweg niet genoeg animo voor Persona is."

OpenID is jaren geleden geïntroduceerd, als algemene inlog voor alle websites met inlog, maar mislukt wegens gebrek aan belangstelling aan inloggers om het te gebruiken.
Dan houdt het een keer op.
Digid loopt hetzelfde risico.
Toen negeerde ik OpenId, nu gebruik ik Digid alleen voor overheidswebsites.
Zoals het OpenId niks aan gaat waar ik allemaal inlog, gaat het Digid ook niks aan.
Websites buiten NL en EU zat zonder deze centrale inlog database.
Ik begrijp je vergelijking met DidiD niet. Naar mijn idee is daar genoeg animo voor, al is het maar omdat het voor overheidsdoeleinden verplicht is. Die vergelijking gaat dan ook mank.
DigiD *mag* alleen maar gebruikt worden op (semi) overheid websites.
Zoals het OpenId niks aan gaat waar ik allemaal inlog, gaat het Digid ook niks aan.
OpenID is vooral een protocol/standaard. en er zijn dan ook meerdere OpenID providers.
Dit houd dus in dat Mozilla de stekker uit de "The Persona Fallback IdP" trekt. Wie een IdP op zijn eigen domein draait (of een email adres bij een provider die een IdP draait) verandert er niks.

Maar gezien Mozilla met de Fallback IdP stopt, en deze niet over draagt, zal dit voor problemen zorgen bij gebruikers die geen eigen IdP draaien. Een derde partij kan natuurlijk zijn eigen Fallback IdP opzetten, maar wie mag dit zijn. Hier bestaat het gevaar van fragmentatie, als er meerdere partijen zo'n Fallback IdP opzetten. Dus, er moet één fallback IdP komen en deze moet doorgevoerd worden in de BrowserID implementatie. Tsja.... easier said then done.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Microsoft Xbox One S FIFA 17 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True