BrowserID är en metod som presenterades i juli 2011 för att använda e-postadresser för att bevisa en identitet och logga in på en webbplats snabbt och säkert.

Systemet utvecklades av Mozilla Labs.

Det är utformat för att vara enklare och snabbare än esisting-metoden för en webbplats som skickar dig ett e-postmeddelande och du klickar på en länk för att verifiera din sanna identitet.

Så varför är det viktigt och hur fungerar det? Vi bestämde oss för att ta reda på det.

F. Hur skulle det fungera i praktiken?

A. För att logga in på en webbplats som stöder BrowserID behöver du bara klicka på en inloggningsknapp och sedan välja vilken e-postadress du vill använda från en meny. Din webbläsare och webbplatsen skulle ta hand om allt annat.

Q. Vad sägs om inloggning via Facebook, Twitter eller Google? Det skulle bli ännu snabbare och enklare, skulle det inte?

A. Ja, när du surfar när du är inloggad på någon av dessa portaler behöver du inte göra någonting, eftersom någon webbplats som är kopplad till dem omedelbart vet vem du är. Och det är problemet. Att outsourca dessa uppgifter till gigantiska privata leverantörer skapar massor av inlåsning och integritetsskydd.

F. Det är säkert sant, men vänta en sekund! Var inte OpenID tänkt att tillhandahålla (mer eller mindre) samma tjänst?

A. Det var faktiskt. I praktiken ser det ut som om OpenID misslyckades med att nå kritisk massa av flera skäl. Förmodligen var det största behovet att tillfälligt gå till en annan webbplats för att få tillgång till den du ville besöka.

Om ingen verkligen förstår värdet av pålitliga online-autentiseringstjänster (och bryr sig om det) är det mycket svårare än att bara berätta för en webbläsare att komma ihåg alla lösenord eller klicka på rutorna Kom ihåg mig från de flesta inloggade webbformulär. BrowserID försöker ge samma nivå av säkerhet och förtroende som OpenID, men på en mycket tydligare sätt.

Fråga mig mer om sekretessskydd i BrowserID, tack.

A. Först och främst, till skillnad från andra inloggningssystem, tvingar BrowserID inte användaren att dela eller överföra personliga, känsliga data online, till exempel födelsedatum. Utöver detta är BrowserID utformat för att inte överföras till någon serverinformation om vilka webbsidor du besöker.

Q. Varför är BrowserID baserat på e-postadresser?

A. Först och främst, eftersom alla som använder webben regelbundet redan har minst en e-postadress och vet att den redan används som en identitets- och auktorisationstoken. Därefter, eftersom e-postadresser inte styrs eller kontrolleras av någon enskild organisation.

Slutligen, eftersom nästan alla webbplatser som kräver att deras användare loggar in, lagrar redan sina e-postadresser för att hantera direktkommunikation, återställning av lösenord och andra tjänster. Därför ger BrowserID dem ett bättre sätt att använda för att verifiera vissa användardata som de redan har.

Q. Skulle BrowserID förhindra att jag använder mina smeknamn på dessa webbplatser?

A. Inte alls. E-postadressen används endast för den ursprungliga autentiseringen. BrowserID begränsar inte på något sätt hur en webbplats låter dig konfigurera ditt lokala konto.

Fråga: Kan jag då ha flera Identifieringsidentifierare??

A. Naturligtvis. Det enda kravet är att var och en av dem är kopplad till en annan e-postadress.

F. Vad sägs om andra program, t.ex. chattklienter? Kan jag även använda BrowserID med dem, eller är det enbart enbart webbläsare?

A. Ja, det kan du, så länge som dessa program implementerar protokollet och ger sina användare ett gränssnitt för att logga in på deras identitetsleverantör för att få nycklarna. Dessa kan sedan lagras i Kwallet eller någon annan skrivbordsbaserad lösenordshanterare.

Fråga. Tyvärr, vilket protokoll och nycklar? Är BrowserID baserat på någon form av proprietär teknik?

A. Nej. Tekniskt sett är BrowserID en applikation av Verified Email Protocol. ett decentraliserat autentiseringssystem baserat på offentlig / privat nyckelkryptografi, genom vilken användare kan bevisa en webbplats att de äger en e-postadress.

Fråga: Fungerar BrowserID på alla webbläsare?

A. BrowserID kan fungera på alla moderna webbläsare, inklusive mobila enheter. Det enda kravet är att dessa webbläsare är kompatibla med JavaScript-API: n för BrowserID. Detta sagt, även om du var tvungen att använda en icke-kompatibel webbläsare, skulle det fortfarande vara möjligt att använda en likvärdig webbaserad tjänst.

Fråga: Vad ska jag göra för att börja använda BrowserID?

A. Du bör logga in på den gamla vägen till din identitetsleverantörs webbplats. Den servern kommer då att berätta för din webbläsare, via ett JavaScript API, att generera ett offentligt / privat par kryptografiska nycklar.

Strax efter det kommer webbläsaren att skicka den offentliga nyckeln till identitetsleverantören och få tillbaka ett signerat identitetscertifikat. Webbläsaren lagrar sedan den privata nyckeln och certifikatet som det skulle göra med traditionella lösenord.

F: Vad händer när jag besöker en webbläsare-kompatibel webbplats?

A. Den webbplatsen kommer att berätta för din webbläsare att köra en JavaScript-funktion som frågar dig om du vill logga in och med vilken identitet - det är e-postadress.

Q. Och när jag accepterar ...

A. Webbläsaren skickar till identiteten certifikatet, som skrivs med den privata nyckeln. På den tiden kommer webbplatsen att hämta din offentliga nyckel från din identitetsleverantör och verifiera att signaturen är autentisk.

Q. Och så ska jag bevisa för den webbplatsen att jag verkligen är den jag säger jag är?

A. Ja ... och nej. Vad det här förfarandet ger är en bekräftelse från tredje part (till skillnad från vad som händer med cookies!) Att autentiseringsbegäran kommer från en webbläsare som har den hemliga nyckeln i samband med den angivna e-postadressen. Vilket innebär att…

F. Jag borde aldrig låta andra personer använda min webbläsare!

A. Det är helt sant. Men det är samma risk du redan står inför med alla andra autentiseringssystem som inte tvingar dig att skriva in ett lösenord varje gång, är det inte?

F. Jag antar att det är sant, men det betyder också att jag inte kommer att kunna autentisera från andra webbläsare, rätt?

A. Det beror på. Det är verkligen upp till dig. I och av sig tillåter BrowserID att du har ett certifikat för varje dator eller smartphone du använder, inklusive lånade eller offentliga sådana som internetkiosker. Naturligtvis, i så fall skulle du behöva radera den privata nyckeln och certifikatet så snart du är klar!

F. Låt oss gå tillbaka till identitetsleverantörer. Du fortsätter att nämna dem - vem är de?

A. I det enklaste och mest naturliga scenariot skulle din BrowserID-identitetsleverantör vara din e-postleverantör.

F. Vad händer om det inte stöder systemet?

A. Du kan fortfarande, utan problem, använda en betrodd, sekundär identitetsleverantör som erbjuder samma tjänster. Mozilla Foundation, till exempel, har skapat en webbplats som heter BrowserID.org för detta ändamål, för att påskynda testning och adoption av BrowserID.

Q. Åh, ja, adoption. Vad är den nuvarande statusen för BrowserID? Är det någon som redan använder den?

A. Vid skrivandet av denna del (slutet av november) är BrowserID fortfarande i sin linda. De flesta webbläsarutvecklare har inte meddelat några officiella planer för att integrera BrowserID-stöd i deras programvara. Det är dock inte det största problemet.

Q. Verkligen? Vad är det då?

A. Den verkliga öppna frågan är om och när de stora e-postleverantörerna och onlinemiljöerna, som Facebook och Twitter, kommer att stödja BrowserID - det är blivit identitetsleverantörer. Speciellt när de, som Facebook, har sina egna in-house alternativ.

Dessutom skulle alla dessa leverantörer behöva komma överens om ett vanligt sätt att göra offentliga nycklar tillgängliga. Lyckligtvis gör inget av detta omöjligt att prova BrowserID eller implementera det på din webbplats.

Q. Det är coolt. Hur kan jag prova det idag?

A. För tillfället är det bästa sättet att se hur du använder BrowserID ser ut att besöka den officiella demo webbplatsen på Myfavoritebeer.org.

Q. Vad sägs om webmasters?

A Om de använder populär öppen källkod, till exempel WordPress eller Drupal, har de tur: BrowserID-plugin-program för dessa innehållshanteringssystem finns redan.

Alternativt måste de följa instruktionerna för utvecklare som publiceras på browserid.org. Även i så fall skulle de kunna använda BrowserID utan att behöva skriva någon autentiseringskod av sig själva.

--------------------------------------------------------------------------------------------------

Först publicerad i Linux Format Issue 154