BrowserID is een methode, gepresenteerd in juli 2011, om e-mailadressen te gebruiken om een ​​identiteit te bewijzen en snel en veilig in te loggen op een website.

Het systeem is ontwikkeld door Mozilla Labs.

Het is ontworpen om eenvoudiger en sneller te zijn dan de bestaande methode van een site die u een e-mail stuurt en u klikt op een koppeling om uw ware identiteit te verifiëren.

Dus waarom is het belangrijk en hoe zal het werken? We besloten het uit te zoeken.

V. Hoe zou het in de praktijk werken??

A. Om in te loggen op een website die BrowserID ondersteunt, hoeft u alleen maar op een knop Aanmelden te klikken en vervolgens in een menu te selecteren welk e-mailadres u wilt gebruiken. Uw browser en de website zorgen voor al het andere.

Vraag: Hoe zit het met inloggen via Facebook, Twitter of Google? Dat zou nog sneller en eenvoudiger zijn, zou het niet?

A. Ja, wanneer u browst terwijl u bent ingelogd op een van die portals, hoeft u niets te doen, omdat elke website die daarmee verbonden is, onmiddellijk weet wie u bent. En dat is het probleem. Het uitbesteden van deze taken aan gigantische privé-providers zorgt voor veel problemen met de vergrendeling en privacybescherming.

V. Dat is zeker waar, maar wacht even! Was het niet de bedoeling dat OpenID (min of meer) dezelfde service biedt??

A. Dat was het inderdaad. In de praktijk lijkt het erop dat OpenID om verschillende redenen geen kritieke massa heeft bereikt. Waarschijnlijk de grootste was de noodzaak om tijdelijk naar een andere website te gaan om toegang te krijgen tot degene die je wilde bezoeken.

Tenzij iemand de waarde van betrouwbare online authenticatiediensten begrijpt (en er om geeft), is dat veel omslachtiger dan alleen een browser vertellen om alle wachtwoorden te onthouden, of klik op de Remember Me-vakjes die door de meeste webformulieren worden geboden. BrowserID probeert hetzelfde niveau van beveiliging en vertrouwen te bieden als OpenID, maar op een veel transparantere manier.

V. Vertel me alsjeblieft meer over privacybescherming in BrowserID.

A. Allereerst dwingt BrowserID de gebruiker niet om, in tegenstelling tot andere inlogsystemen, online persoonlijke, gevoelige gegevens, zoals de geboortedatum, te delen of te verzenden. Bovendien is BrowserID zo ontworpen dat het niet doorgeeft aan servergegevens over welke webpagina's u bezoekt.

V. Waarom is BrowserID gebaseerd op e-mailadressen?

A. Allereerst omdat iedereen die het web regelmatig gebruikt al ten minste één e-mailadres heeft en weet dat het al als identiteits- en autorisatie-token wordt gebruikt. Vervolgens omdat e-mailadressen niet worden beheerd of bestuurbaar door een enkele organisatie.

Ten slotte, omdat vrijwel alle websites waarvoor gebruikers moeten inloggen hun e-mailadressen al opslaan om directe communicatie, verzoeken voor wachtwoordherstel en andere services te verwerken: daarom geeft BrowserID hen een betere manier om authenticatie te gebruiken voor sommige gebruikersgegevens die ze al hebben.

V. Zou BrowserID mij beletten mijn favoriete bijnamen op die websites te gebruiken??

A. Helemaal niet. Het e-mailadres wordt alleen gebruikt voor de initiële authenticatie. BrowserID beperkt op geen enkele manier hoe een website u in staat stelt om uw lokale account te configureren.

V. Kan ik dan meerdere BrowserID-identiteiten hebben??

A. Natuurlijk. De enige vereiste is dat elk van hen is gekoppeld aan een ander e-mailadres.

Vraag: Hoe zit het met andere applicaties, zoals chatclients? Kan ik ook BrowserID gebruiken of is het een browser-only ding??

A. Ja, dat zou kunnen, zolang die programma's het protocol implementeren en hun gebruikers een interface bieden om in te loggen bij hun identiteitsprovider om de sleutels te krijgen. Deze kunnen dan worden opgeslagen in Kwallet of een andere op desktop gebaseerde wachtwoordbeheerder.

V. Sorry, welk protocol en welke sleutels? Is BrowserID gebaseerd op een soort eigen technologie?

A. Nee. Technisch gezien is BrowserID een toepassing van het Verified Email Protocol; een gedecentraliseerd authenticatiesysteem op basis van cryptografie met openbare / persoonlijke sleutels, waarmee gebruikers aan een website kunnen bewijzen dat zij een e-mailadres bezitten.

V. Werkt BrowserID in alle browsers??

A. BrowserID werkt op elke moderne browser, ook mobiele browsers. De enige vereiste is dat die browsers compatibel zijn met de BrowserID JavaScript API. Dit gezegd zijnde, zou het nog steeds mogelijk zijn om een ​​equivalente webgebaseerde service te gebruiken, zelfs als u genoodzaakt was om een ​​niet-compatibele browser te gebruiken.

V. Wat moet ik doen om BrowserID te gebruiken??

A. U moet op de oude manier inloggen op de website van uw identiteitsprovider. Die server zal vervolgens via een JavaScript-API uw browser laten weten dat hij een publiek / privaat paar cryptografische sleutels moet genereren.

Direct daarna zal de browser de publieke sleutel naar de identiteitsprovider sturen en een ondertekend identiteitsbewijs terugkrijgen. De browser slaat vervolgens de privésleutel en het certificaat op zoals het zou doen met traditionele wachtwoorden.

V. Wat zou er nu gebeuren als ik een browser-conforme website bezoek??

A. Die website zal uw browser vertellen om een ​​JavaScript-functie uit te voeren die u vraagt ​​of u zich wilt aanmelden en met welke identiteit - dat is e-mailadres.

Vraag en wanneer ik accepteer ...

A. De browser stuurt het identiteitscertificaat naar de website, ondertekend met de privésleutel. Op dat moment zal de website uw openbare sleutel downloaden van uw identiteitsprovider en controleren of de handtekening authentiek is.

V. En dat is hoe ik die website zal bewijzen dat ik echt ben wie ik zeg dat ik ben?

A. Ja ... en nee. Wat deze procedure biedt, is een bevestiging van een derde partij (in tegenstelling tot wat er gebeurt met cookies!) Dat de authenticatieaanvraag afkomstig is van een browser die de geheime sleutel heeft die is gekoppeld aan het opgegeven e-mailadres. Wat betekent dat…

V. Ik zou nooit andere mensen mijn browser laten gebruiken!

A. Dat is absoluut waar. Dat is echter hetzelfde risico waarmee u al wordt geconfronteerd met elk ander authenticatiesysteem dat u niet telkens weer dwingt een wachtwoord in te voeren, toch??

Q. Ik veronderstel dat dat waar is, maar dit betekent ook dat ik niet kan authenticeren vanuit andere browsers, toch??

A. Dat hangt ervan af. Dat is echt aan jou. Op zichzelf biedt BrowserID u de mogelijkheid om één certificaat te hebben voor elke computer of smartphone die u gebruikt, inclusief geleende of openbare, zoals internetkiosken. In die gevallen zou je natuurlijk de privésleutel en het certificaat moeten verwijderen zodra je klaar bent!

V. Laten we teruggaan naar identiteitsproviders. Je blijft ze noemen - wie zijn ze?

A. In het eenvoudigste en meest natuurlijke scenario is uw browser-ID-provider uw e-mailprovider.

V. Wat als het systeem niet wordt ondersteund?

A. U kunt nog steeds zonder problemen een vertrouwde, secundaire identiteitsprovider gebruiken die dezelfde services biedt. De Mozilla Foundation heeft bijvoorbeeld voor dit doel een website met de naam BrowserID.org opgezet om het testen en het gebruik van BrowserID te versnellen.

Q. Ah, ja, adoptie. Wat is de huidige status van BrowserID? Is er iemand die het al gebruikt??

A. Op het moment dat dit stuk werd geschreven (eind november), staat BrowserID nog in de kinderschoenen. De meeste browserontwikkelaars hebben geen officiële plannen aangekondigd om BrowserID-ondersteuning in hun software te integreren. Dat is echter niet het grootste probleem.

V. Echt waar? Wat is het dan?

A. Het echte openstaande probleem is of en wanneer de grote e-mailproviders en online communities, zoals Facebook en Twitter, BrowserID ondersteunen - dat wil zeggen dat ze identiteitsproviders worden. Vooral wanneer ze, net als Facebook, een eigen intern alternatief hebben.

Bovendien zouden al deze providers overeenstemming moeten bereiken over een standaardmanier om publieke sleutels toegankelijk te maken. Gelukkig maakt dit alles het onmogelijk om BrowserID te proberen of het op uw website te implementeren.

V. Dat is cool. Hoe kan ik het vandaag proberen?

A. Voor het moment is de beste manier om te zien hoe het gebruik van BrowserID eruitziet, de officiële demosite op Myfavoritebeer.org te bezoeken..

V. Hoe zit het met webmasters?

A Als ze populaire open source software gebruiken, zoals WordPress of Drupal, hebben ze geluk: BrowserID-plug-ins voor die inhoudbeheersystemen bestaan ​​al.

Als alternatief zouden ze de instructies voor ontwikkelaars moeten volgen die gepubliceerd zijn op browserid.org. Zelfs in dat geval zouden ze BrowserID kunnen gebruiken zonder zelf een authenticatiecode te hoeven schrijven.

--------------------------------------------------------------------------------------------------

Voor het eerst gepubliceerd in Linux Format Nummer 154