Fin de vida de "Persona" en noviembre


(Rubén Martín) #1

Hola,

Como ya se anunció hace tiempo Persona dejará de dar servicio a finales de noviembre.

Nosotros aún conservamos este sistema de identificación en el foro (y en wordpress y owncloud), por lo que tenemos que empezar a pensar en retirarlo.

La pregunta aquí sería: ¿Buscamos otra alternativa que no requiera contraseñas o volvemos a la base de datos de contraseñas locales?

La alternativa que se va a usar en los sitios de mozilla es Auth0 en el modo “passwordless” y a futuro contra el LDAP de Mozilla. En nuestro caso podríamos usarlo sólo en el modo passwordless y dejar de almacenar contraseñas de usuarios.

¿Qué os parece?


(Rpmdisguise Nave) #2

Cuesta un poco entender qué es Auth0 (mucha imagen y frase-slogan, pero no hay un texto que describa claramente qué es). Me da la sensación de que lo que permite es proporcionar una API común para ofrecer métodos de identificación de distintos proveedores de autenticación, desde Google, Facebook y Yahoo! a Github o Twitter. Siempre delegando en ellos la autenticación. ¿Es así?

Lo que me pregunto es: ¿esta solución perdurará en el tiempo? ¿O dentro de dos años habrá que cambiar a otro porque la startup no habrá conseguido un plan de negocio viable y tirarán del enchufe? Y también me pregunto ¿si no cobran, qué datos obtienen de nosotros? ¿Están los usuarios de MH dispuestos a confiar en Auth0?

Al final, todos los servicios gratuitos a gran escala hacen su negocio de tenernos fichados, pero con una solución como esta parece que, además de vendernos a Google, Yahoo! o Facebook, nos venderíamos a un sitio más.

¿Y si volvemos a una solución de contraseñas de toda la vida?


(Rubén Martín) #3

Provee de una API para poder tener en diferentes sistemas una forma sencilla de autenticación por diferentes medios (social, sin contraseña, LDAP, sso personalizado…) y que sea compartido entre aplicaciones.

En nuestro caso, queremos evitar almacenar contraseñas de nadie: Por un lado evitando que si hay un problema de seguridad en nuestros servicios se puedan acceder y por otro para que con la opción “passwordless” los usuarios no tengan el dolor de cabeza de recordar contraseñas y la tentación de reutilizar una que están usando en otros servicios.

El sistema es bastante utilizado y maduro, pero nadie puede adivinar el futuro. Si todo muriera (como ha pasado con persona) siempre se podrá mover a otro (al final, el identificador siempre es el correo).

Dado que este sistema se va a usar para el resto de webs principales de Mozilla, estimo que el tema de la privacidad se habrá tenido en cuenta a la hora de tomar la decisión. Puedo sin embargo preguntar más detalles.


#4

He visto el mensaje de fin de persona al loguearme en Wordpress.

Va a haber un sistema distinto a partir del 30 de noviembre?
Si el sistema se va a migrar, como se puede obtener un nuevo user/password?


(Rubén Martín) #5

Posiblemente vayamos con lo propuesto, “passwordless” usando auth0, lo que significa que al intentar logear te llegará un código al correo para continuar, sin contraseña ni nada más. Los usuarios son los mismos.


#6

Perfecto entonces :slight_smile: Gracias. Estaré atenta al foro por si hay algun cambio.