Das existierende System von Benutzernamen und Paswörtern ist inakzeptabel: Von den Nutzern wird erwartet, dass sie ein neues, komplexes Passwort für jede Site und jeden Dienst erstellen und sich an dieses erinnern. Und jede Site muss das Passwort sicher speichern. Allerdings zeigen Hacker-Angriffe gerade in letzter Zeit, dass sogar namhafte Unternehmen Lücken in der Passwortsicherheit haben und die Daten ihrer Nutzer damit in Gefahr bringen.
Persona ist ein offenes, verteiltes, webweites Identitätssystem, das die Passworteingabe für jede Site ersetzt. Es orientiert sich an der Benutzerfreundlichkeit und begegnet den Datenschutzmängeln von Systemen wie OpenID, ohne dabei auf die zentrale Infrastruktur zurückzugreifen wie sie beispielsweise Facebook Connect nutzt.
Persona macht Passwörter für jede Site überflüssig
Anstatt eines Passworts für jede einzelne Site, erlaubt Persona die Anmeldung mit nur zwei Klicks, nach Abschluß eines einfachen, einmaligen Vorgangs für jede Identität. Das ist sicher, geschützt und basiert auf einem öffentlichen Schlüssel modernster Kryptografie. Statt eines Passworts erzeugt der Browser des Nuzers eine kryptografische "Idenditätserklärung", die nach wenigen Minuten abläuft und nur für eine einzelne Site gültig ist. Weil es keine seitenspezifischen Passwörter gibt, brauchen sich Websites, die Persona nutzen, nicht um die sichere Speicherung oder den potentiellen Verlust der Passwortdatenbank kümmern.
Der schnelle Registriervorgang reduziert außerdem den "Nutzerwiderstand" beim Besuch neuer Sites.
Persona Identitäten sind Email-Addressen
Anstatt eines freien Usernamens verwendet Persona Email-Addressen als Identitäten. Dies hat zahlreiche Vorteile sowohl für den Nutzer als auch den Entwickler:
Nutzervorteile bei Verwendung von Email-Adressen
- Nutzer wissen bereits ihre Email-Adresse im Gegensatz zum Lernen einer neuen und möglicherweise verwirrenden URL mit OpenID.
- Email-Addressen stellen übersichtlich die Idee dar von
irgendwer@irgendein-kontext
, und machen es dem Nutzer dabei einfach, Ihre Identität@arbeit
,@zuhause
, oder@schule
auseinander zu halten. Dies unterscheidet sie vom Trend, Identitäten durch reale Namen zusammenzufassen, wie etwa die Politik von Einmalzugängen bei sozialen Netzwerken wie Facebook und Google+. - Email kann selbst gehosted oder an Provider delegiert werden und gibt so dem Nutzer selbst Kontrolle über seine Identität.
Vorteile für Entwickler bei Verwendung von Email-Addressen
- Email-Addressen geben Entwicklern ein direktes Mittel zur Kontaktaufnahme mit den Nutzern.
- Die meisten Sites verlangen eine Email-Adresse von ihren Nutzern. Persona bietet dies automatisch wenn sich Nutzer anmelden. Dadurch entfallen zusätzlich notwendige Email-Bestätigungen.
- Viele Login-Systeme behandeln bereits Email-Adressen als eindeutige Schlüssel. In diesem Fall ist eine Anmeldung mit Persona nicht erforderlich und Persona kann neben bestehenden Login-Systemen eingesetzt werden.
Ganz zu schweigen davon, dass Email ein bereits bestehendes, ausgereiftes System mit Milliarden von Konten unzähliger Anbieter darstellt.
Worin unterscheidet sich Persona von anderen Einmal-Zugangsanbietern?
Persona ist sicher, geschützt und einfach. Es schützt die Privatspähre, die Kontrolle und die Wahlfreiheit der Nutzer in einer Art, wie es andere Anbieter nicht tun oder nicht können.
Viele soziale Netzwerke wie Facebook and Google+ benötigen Nutzer die ihren realen Namen verwenden und schränken die Nutzer auf ein einziges Konto ein. Dadurch, dass Persona auf Email-Adressen beruht, erlaubt es den Nutzern ihre verschiedenen Arbeits-, Heim-, Schul- und andere Identitäten zu trennen.
Persona ist offen und dezentral: Jeder mit einer Email-Adresse kann sich bei Sites anmelden, die Persona verwenden. Zudem kann jeder seine eigene Identität hosten oder delegieren - eben genau wie Emails. Dies steht im Gegensatz zu Zugangsdiensten sozialer Netzwerke, die ein einziges, zentrales Konto benötigen.
Persona bietet außerdem einen neuen Ansatz um die Privatspähre der Nutzer zu schützen, indem es den Browser des Nutzers in den Mittelpunkt des Authentifzierungsprozesses stellt: Der Browser erhält Anmeldeinformationen vom Email-Anbieter des Nutzers und stellt diese Informationen der Website zur Verfügung. Der Email-Anbieter kann den Nutzer nicht nachverfolgen ("tracken"), aber Websiten können dennoch durch die kryptografisches Verifikation der Anmeldeinformationen der Identität des Nutzers vertrauen. Die meisten anderen Systeme, selbst dezentrale wie OpenID, verlangen, dass die Site "nach Hause telefoniert" bevor sie dem Nutzer die Anmeldung gestatten.