Allgemeines 22.004 Themen, 148.973 Beiträge

News: Mozilla BrowserID

Neuer Mechanismus für bequemere Anmeldung auf Webseiten

Michael Nickles / 6 Antworten / Baumansicht Nickles

Die meisten Webseiten können nur dann vollständig genutzt werden, wenn man sich als Mitglied anmeldet. Und auch wenn das kostenlos ist, braucht es für jede Webseite erneut eine Anmeldung, zumindest Email-Adresse und ein Wunschpasswort sind fällig.

Diese Registrierung ist gleichermaßen lästig wie sich jedes Mal anmelden zu müssen, so man das nicht permanent tut. Permanent klappt typischerweise natürlich sowieso nur auf jeweils einem Rechner und einem Browser.

Wer mehrere Rechner und Browser verwendet, vervielfacht zwangsläufig den Aufwand. Hinzu kommt die "Faustregel", dass man seine Passwörter ja regelmäßig ändern soll um Missbrauch vorzubeugen.

Und ein Standardtipp der Sicherheitsexperten ist es auch, für jede Webseite ein eigenes Passwort zu verwenden. Und natürlich sollen Passwörter möglichst lang, so kompliziert sein, damit sie sich selbst nicht mal merken kann. Die theoretisch bequemste Lösung ist natürlich die, sich nur einmalig "im Internet" anmelden zu müssen und dann alle Webseiten ohne weiteres Login komplett nutzen zu können.

Lösungsansätze dafür gibt es bereits diverse, eine aktuell populäre Methode ist die, sich bei Webseiten beispielsweise gleich mit seinen "Facebook-Daten" einloggen zu können.


Beispiel Community-System Disqus. Diese moderne "Foren-Software" wird auf diversen Werbseiten eingesetzt. Statt sich direkt bei einer Webseite anzumelden, kann man beispielsweise einfach seine Facebook-Anmeldunsdaten an eine Seite weiterreichen.

Ein Webseiten-übergreifendes Login gibt es seit 2007 auch mit der Open Souce Lösung OpenID. Kurzum: es existieren bereits viele Lösungen, von denen sich allerdings wohl noch keine wirklich durchgesetzt hat. Anders lässt es sich kaum erklären, dass die Mozilla-Entwickler (Firefox) jetzt ihr neues Open Source Projekt BrowserID / Verfied Email Protocoll vorgestellt haben.

Der Denkansatz ist recht simpel. Benutzer sollen einer Webseite ihre Identität beweisen können, indem sie ihr einfach zeigen, dass sie der Besitzer eines Email-Kontos sind. Zum Einloggen auf einer Webseite muss man dann nur noch eine eigene Email-Adresse eingeben, zu deren Konto man auch Zugang hat.

Email-Adressen, die man für Webseiten universell als Login verwenden will, müssen einmalig beim "BrowserID"-Dienst registriert werden. Der jeweilige Email-Provider (so er bei OpenID mitmacht) generiert dann zwei Schlüssel. Einen speichert er "öffentlich" für Webseiten zur Verifikation abrufbar, den anderen lokal auf dem Rechner des Nutzers.

Webseiten-Betreiber sollen OpenID mit nur geringem Aufwand integrieren können. Zum Ausprobieren von OpenID gibt es diese Testseite: My Favorite Beer

Michael Nickles meint: Warum BrowserID? Generell erfolgt die Kommunikation (das Login) zwischen Webseite und Benutzer über einen "Identitätsverwalter" - halt der, der den "öffentlichen" Schlüssel verwaltet. Dieser Provider kennt aber nur den öffentlichen Schlüssel und nicht den privaten zweiten, der lokal auf dem Rechner gespeichert ist. Das macht die ganze Sache relativ "sicher".

Tatsache bleibt aber unverändert: beim Surfen im Web "hockt ein Dritter mit dabei". Beziehungsweise noch ein weiterer "Dritter". Der eigene Internetanbieter weiß ja bereits, wo man so rumsurft, wo man sich einloggt. Die Mozilla-Leute versprechen natürlich, dass sie das Surf-/Loginverhalten nicht protokollieren.

Wer sich bei Nickles.de anmeldet, der muss eine Email-Adresse angeben und sich einen Benutzernamen aussuchen. Dann kriegt er per Email ein Passwort zugeschickt, das er anschließend auch beliebig ändern kann.

Diese Methode ist die altmodischste und aufwändigste. Aus meiner Sicht aber nach wie vor die "sauberste". Es besteht also aktuell kein Plan, hier irgendwelche Logins mit "Facebook" oder "BrowserID" zu ermöglichen.

bei Antwort benachrichtigen
Hewal Michael Nickles „Neuer Mechanismus für bequemere Anmeldung auf Webseiten“
Optionen

Oder man nutzt Lastpass: Ein Masterpasswort und für die Webseiten, auf denen man sich anmelden muss, kann man sich ein zufälliges Passwort erstellen lassen. Lastpass läuft auf allen gängigen Browsern und legt die Passwörter auf einem Zentralen Server ab.

Für mich, der an ständig anderen Rechnern sitzt um im Web zu arbeiten, äußerst praktisch. Sicherheitsbedenken habe insofern keine, da mein Masterpassword extrem Stark ist. Einzigstes Bedenken könnte man äußern, dass die Firma hinter Lastpass zugriff auf meine Passwörter hat... Aber ich bin nicht paranoid :)

Grüße
Hewal

Schreibfehler sind specialeffects meiner Tastatur.
bei Antwort benachrichtigen
Conqueror Hewal „Oder man nutzt Lastpass: Ein Masterpasswort und für die Webseiten, auf denen...“
Optionen

Passwörter zentral auf einem fremden Server, bei dem was man in letztrer Zeit gehört und gelesen hat. Ist irgendwo Harakiri.

bei Antwort benachrichtigen
Ma_neva Michael Nickles „Neuer Mechanismus für bequemere Anmeldung auf Webseiten“
Optionen

Hi,

für eine fachlich kompetente Antwort bin ich wohl nicht geeignet:-(, doch was mir wirklich gut hier gefällt ist das "Login" mit "permanent" , kann also bei einem Absturz des System oder Browser , ohne großen Aufwand, wieder alle meine Login aufrufen bei Nickles.
Sicherheitsbedenken hatte ich ich auf dieser Seite noch nicht;-), außer einem Bedürfnis nach "Klösterlicher Betreuung"*LOL*, gegen trockenen Hals;-).
(War als Aufhellung gedacht:-)).

Gruß
Manfred

Das Genie tut was es muß, das Talent tut was es kann
bei Antwort benachrichtigen
reader Michael Nickles „Neuer Mechanismus für bequemere Anmeldung auf Webseiten“
Optionen

und was ist die killerfeature, die es besser als openID machen soll? openID dienst kann ich sogar auf meinem rechner laufen lassen - da habe ich alle fäden in der hand. bringt nix - da hat man doch lieber einfach die passwörter im passwordmanager und fpr unwichtige seiten ist es halt 123.. ich kenne m,ein nickles password nicht mal - wei les mir unwichti gist, es hängen keine relevanten daten oder sonstwas an diesem account.

bei Antwort benachrichtigen
torsten40 Michael Nickles „Neuer Mechanismus für bequemere Anmeldung auf Webseiten“
Optionen

Es ist auch lästig jedesmal die ganzen Kennwörter und Benutzernamen auszulesen, an infizierten Rechnern.

Dann lieber eine BrowserID auslesen und zack hat man alle Zugänge, wie wunderbar einfach das Leben doch ist.

doch was mir wirklich gut hier gefällt ist das "Login" mit "permanent"
Das gibs fast überall wo man sich anmelden kann, ausser bei Email Adressen nicht.
Es nicht nur hier gut, sondern überall gleich gut, oder schlecht ;)

Freigeist
bei Antwort benachrichtigen
RedRed2x Michael Nickles „Neuer Mechanismus für bequemere Anmeldung auf Webseiten“
Optionen
Es besteht also aktuell kein Plan, hier irgendwelche Logins mit "Facebook" oder "BrowserID" zu ermöglichen.

Und das ist auch gut so ... und bleibt es hoffentlich auch!

Ich möchte nicht unbedingt meinen Account eines anderen "Netzfeatures" dazu nutzen, um mich irgendwo anders anmelden zu können.
Wie schon weiter oben erwähnt gibt es doch zwischenzeitlich bei jedem guten Bowser Passwortmanager, die man auf mehreren Maschinen bzw. unterschiedlichen Browsern laufen lassen kann (copy & paste).

redred2x
bei Antwort benachrichtigen