Mozilla stopt met authenticatiesoftware Persona

Mozilla heeft aangekondigd te gaan stoppen met zijn authenticatiesoftware Persona. Persona.org en alle daaraan verbonden domeinen worden op 30 november uit de lucht gehaald. Tot die tijd wordt het programma wel onderhouden.

Persona Mozilla's Persona is een overkoepelend inlogsysteem waarmee het mogelijk is om in te loggen op alle websites die het programma geïmplementeerd hebben. Hiervoor heeft het maar één wachtwoord en e-mailadres nodig, in plaats van één per website. Hierin is het vergelijkbaar met andere software zoals OpenID. Persona bestaat sinds juli 2011 en zal zijn diensten beëindigen op 30 november 2016. Tot die datum blijft Mozilla onderhoudsondersteuning bieden.

Aan websites die gebruikmaken van Persona als inlogmethode geeft Mozilla aan dat ze op zoek moeten naar alternatieven voor hun gebruikers. Volgens Mozilla wordt dit proces makkelijker gemaakt doordat Persona gebruikmaakt van geverifieerde e-mailadressen, die meegenomen kunnen worden naar een nieuw systeem.

Na 30 november sluit Mozilla het persona.org-domein en alle daaraan verbonden diensten. Het bedrijf zal wel de domeinen zelf houden en niet doorgeven aan andere partijen. Ook wordt de data die Persona heeft opgeslagen niet doorverkocht. Volgens Mozilla wordt alle gebruikersinformatie vernietigd.

In 2014 droeg Mozilla de ontwikkeling van Persona over aan de community. Op dat moment hield de echte ontwikkeling van het programma al op. Na nog twee jaar op deze basis verder te zijn gegaan heeft Mozilla aangegeven dat er simpelweg niet genoeg animo voor Persona is. De ontwikkelaars achter de software gaan verder met andere projecten.

Reacties (13)

kozue 12 januari 2016 13:37

Dit was al gedoemd om te mislukken als ze vereisen dat individuele websites moeite gaan steken in het inbouwen van een inlogmethode. De enige die zoiets waar kunnen maken zijn online partijen waar een groot deel van het internet al een account heeft, zoals google en facebook.

Dit is gewoon een kip-en-ei verhaal voor startups zoals deze die geen accounts en geen integraties hebben. Niemand maakt een account aan als het nergens geïmplementeerd is en niemand implementeert iets dat geen gebruikers heeft.

Blaise @kozue • 12 januari 2016 14:53

Je kan bij Persona ook met social login providers als Google, LinkedIn, Facebook, etc inloggen. Dat werkte heel goed. Ik denk dat het animoprobleem is veroorzaakt doordat je als website net zo goed een social-login library of - plugin kon implementeren met je eigen branding, zonder de Persona branding.

Cerberus_tm

@Blaise • 12 januari 2016 19:25

Of je raadt mensen gewoon aan om een wachtwoord-beheerprogramma als add-on in hun bladeraar te installeren, zoals Lastpass. Dat werkt op elke website zonder dat die iets hoeft te implementeren. Alleen duurt het inloggen dan misschien nog een pietsje langer (even wachten tot de pagina herlaadt), maar dat is nauwelijks een significant nadeel boven Persona, lijkt me.

Kalief @kozue • 12 januari 2016 16:28

Als je de inlogmogelijkheid inbouwt in veelgebruikte forum- en blogsoftware heb je de meeste inloggers al te pakken. Je ziet die nu ook al de Facebook-login gebruiken.

Verwijderd 12 januari 2016 19:09

Toch behoorlijk onbegrijpelijk dat dit soort dingen niet van de grond komen. Het lost precies de problemen op waar de meeste mensen mee zitten: minder wachtwoorden, niet afhankelijk van Facebook of Google (die vergelijkbare dingen doen, maar met een ander motief). En toch gaat niemand het gebruiken. Voor applicatie developers lijkt het me een kleine moeite: de meesten bieden al de optie om te kiezen uit Facebook, Google, LinkedIn of Twitter authenticatie. Dan kan je ook wel een andere optie toevoegen (en die zelfs een beetje promoten).

Cerberus_tm

@Verwijderd • 12 januari 2016 19:26

Misschien omdat b.v. Lastpass bijna net zo goed werkt en sowieso al 99.9% van alle websites ondersteunt... Ik heb niet echt behoefte aan een ander systeem.

SlaSauS 12 januari 2016 14:54

Erg jammer, toevallig was er vanuit de community nog geen maand gelezen een oproep aan Mozilla om het juist nieuw leven in te blazen*. Het mooie van Persona is dat het helemaal gedecentraliseerd is (althans, zover is het in de praktijk zonder andere aanbieders helaas nooit gekomen, maar technisch was het zo opgezet) en de aanbieder van de authenticatie, in eerste instantie dus Mozilla, niet weet op welke websites je allemaal inlogt.

* https://news.ycombinator.com/item?id=10787972

EngineerCoding 13 januari 2016 08:58

Ik vind dat zulke algemene inlogs verdere gevaren gevaren met zich meebrengt. Aan de negatieve kant als een kwaadwillende hacker het voor elkaar krijgt om persona te hacken heeft deze toegang tot potentiële vele sites met inloggegevens. Nu ga ik er wel vanuit dat de beveiliging degelijk is, maar het gevaar loert altijd. Overigens heeft persona niet genoeg animo om het een praktisch voorbeeld te zijn, maar toch vind ik het punt.
Aan de andere kant als een ethische hacker erin komt hoort het probleem snel verholpen te zijn waardoor het eerste punt less likely is. Hoe dan ook, ik twijfel altijd met zulke logins, zelfs als het van een grote corporatie als Google of Facebook komt.

Xubby 12 januari 2016 14:34

"Na nog twee jaar op deze basis verder te zijn gegaan heeft Mozilla aangegeven dat er simpelweg niet genoeg animo voor Persona is."

OpenID is jaren geleden geïntroduceerd, als algemene inlog voor alle websites met inlog, maar mislukt wegens gebrek aan belangstelling aan inloggers om het te gebruiken.
Dan houdt het een keer op.
Digid loopt hetzelfde risico.
Toen negeerde ik OpenId, nu gebruik ik Digid alleen voor overheidswebsites.
Zoals het OpenId niks aan gaat waar ik allemaal inlog, gaat het Digid ook niks aan.
Websites buiten NL en EU zat zonder deze centrale inlog database.

Ossebol @Xubby • 12 januari 2016 14:46

Ik begrijp je vergelijking met DidiD niet. Naar mijn idee is daar genoeg animo voor, al is het maar omdat het voor overheidsdoeleinden verplicht is. Die vergelijking gaat dan ook mank.

babbelmb

@Xubby • 12 januari 2016 14:59

DigiD *mag* alleen maar gebruikt worden op (semi) overheid websites.

Zer0 @Xubby • 12 januari 2016 18:14

Zoals het OpenId niks aan gaat waar ik allemaal inlog, gaat het Digid ook niks aan.

OpenID is vooral een protocol/standaard. en er zijn dan ook meerdere OpenID providers.

--Andre-- 17 januari 2016 17:32

Dit houd dus in dat Mozilla de stekker uit de "The Persona Fallback IdP" trekt. Wie een IdP op zijn eigen domein draait (of een email adres bij een provider die een IdP draait) verandert er niks.

Maar gezien Mozilla met de Fallback IdP stopt, en deze niet over draagt, zal dit voor problemen zorgen bij gebruikers die geen eigen IdP draaien. Een derde partij kan natuurlijk zijn eigen Fallback IdP opzetten, maar wie mag dit zijn. Hier bestaat het gevaar van fragmentatie, als er meerdere partijen zo'n Fallback IdP opzetten. Dus, er moet één fallback IdP komen en deze moet doorgevoerd worden in de BrowserID implementatie. Tsja.... easier said then done.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (13)

Sorteer op:

Weergave: