Mozilla experimenteert met een nieuwe inlog-methode, die het gebruik van wachtwoorden overbodig maakt: BrowserID. Een bezoeker van een website kan zich ‘met een druk op de knop’ legitimeren.’You can sign into any web site that supports BrowserID with just two clicks’.
Vertrekpunt van de techniek is het e-mailadres, ‘[a] system [that] is effectively a universal login system for most of the web; websites that have stronger login requirements are free to use them, and have a more secure way to federate their logins to other sites. It provides more control over the duration and scope of a user login than is currently available in browser-based systems’, zoals de MozillaWiki het stelt. Veel sites gebruiken dat e-mailadres ook al voor identificatiedoeleinden: als een gebruiker zijn wachtwoord vergeten is, kan hij het veelal resetten via een per e-mail toegestuurde link.
Dat kan slimmer, dacht Mozilla. Als websites er op vertrouwen dat een bezoeker via e-mail identificeerbaar is, kan die ook inloggen met een e-mailadres. Dat scheelt een gebruiker een hoop gedoe met de wachtwoorden-administratie. Voor de bouwers van sites is het ook simpeler.
De methode vereist extra maatregelen om te controleren of de bezoeker ook werkelijk de eigenaar is van het e-mailadres dat hij opgeeft. Daarvoor heeft Mozilla een protocol ontwikkeld: het VerifiedEmailProtocol. Via dat protocol wordt bij inloggen een passende private en publieke sleutel gegenereerd. De private sleutel wordt toegankelijk gemaakt voor de browser. De publiek sleutel kan opgevaagd worden bij de mailprovider, of bij een derde partij als de mailprovider niet in het programma wenst te participeren.
Een bezoeker kan zijn identiteit bewijzen door zijn sleutel en het adres van zijn mailprovider aan de website te presenteren. De website kan de identiteit verifiëren via een zogeheten Webfinger-lookup bij de mailprovider of verificatiedienst. Om een en ander te illustreren, heeft Mozilla een videofilm geproduceerd.
Het voordeel boven inlogdiensten aangeboden door Facebook, Google en Twitter is, dat er helemaal geen inloginformatie vastgelegd hoeft te worden bij derden. Er is geen sprake van lock-in, zoals bij dergelijke identiteitsbeheerdiensten snel optreedt. Websurfers hoeven niet (zoals bij initiatieven als OpenID) een aparte inlog te onthouden, en uitbaters van websites kunnen bezoekers een veel simpeler inlogmethode bieden.
Voor ontwikkelaars is het niet veel werk. Er is maar zeer weinig code voor nodig, en die kan bij Mozilla worden gedownload.
Mozilla heeft BrowserID nog niet gelanceerd. Het wil eerst reacties afwachten op de onderliggende technologie. Daarnaast zal het de bereidheid moeten peilen bij de mailproviders om mee te werken. Als het idee daar niet aanslaat, zal Mozilla zich moeten beraden op de vraag hoe het los van die providers de verificatie op kan zetten. Dat kan wel, maar de vraag is natuurlijk wie dat financiert en hoe je de kwaliteit en de betrouwbaarheid van zo’n dienst bewijst en borgt. Ik denk dat als die medewerking niet komt het initiatief een schone dood zal sterven, hoe interessant het ook is.