Allgemeines 21.967 Themen, 148.278 Beiträge

News: Mozilla BrowserID

Neuer Mechanismus für bequemere Anmeldung auf Webseiten

Michael Nickles / 6 Antworten / Flachansicht Nickles

Die meisten Webseiten können nur dann vollständig genutzt werden, wenn man sich als Mitglied anmeldet. Und auch wenn das kostenlos ist, braucht es für jede Webseite erneut eine Anmeldung, zumindest Email-Adresse und ein Wunschpasswort sind fällig.

Diese Registrierung ist gleichermaßen lästig wie sich jedes Mal anmelden zu müssen, so man das nicht permanent tut. Permanent klappt typischerweise natürlich sowieso nur auf jeweils einem Rechner und einem Browser.

Wer mehrere Rechner und Browser verwendet, vervielfacht zwangsläufig den Aufwand. Hinzu kommt die "Faustregel", dass man seine Passwörter ja regelmäßig ändern soll um Missbrauch vorzubeugen.

Und ein Standardtipp der Sicherheitsexperten ist es auch, für jede Webseite ein eigenes Passwort zu verwenden. Und natürlich sollen Passwörter möglichst lang, so kompliziert sein, damit sie sich selbst nicht mal merken kann. Die theoretisch bequemste Lösung ist natürlich die, sich nur einmalig "im Internet" anmelden zu müssen und dann alle Webseiten ohne weiteres Login komplett nutzen zu können.

Lösungsansätze dafür gibt es bereits diverse, eine aktuell populäre Methode ist die, sich bei Webseiten beispielsweise gleich mit seinen "Facebook-Daten" einloggen zu können.


Beispiel Community-System Disqus. Diese moderne "Foren-Software" wird auf diversen Werbseiten eingesetzt. Statt sich direkt bei einer Webseite anzumelden, kann man beispielsweise einfach seine Facebook-Anmeldunsdaten an eine Seite weiterreichen.

Ein Webseiten-übergreifendes Login gibt es seit 2007 auch mit der Open Souce Lösung OpenID. Kurzum: es existieren bereits viele Lösungen, von denen sich allerdings wohl noch keine wirklich durchgesetzt hat. Anders lässt es sich kaum erklären, dass die Mozilla-Entwickler (Firefox) jetzt ihr neues Open Source Projekt BrowserID / Verfied Email Protocoll vorgestellt haben.

Der Denkansatz ist recht simpel. Benutzer sollen einer Webseite ihre Identität beweisen können, indem sie ihr einfach zeigen, dass sie der Besitzer eines Email-Kontos sind. Zum Einloggen auf einer Webseite muss man dann nur noch eine eigene Email-Adresse eingeben, zu deren Konto man auch Zugang hat.

Email-Adressen, die man für Webseiten universell als Login verwenden will, müssen einmalig beim "BrowserID"-Dienst registriert werden. Der jeweilige Email-Provider (so er bei OpenID mitmacht) generiert dann zwei Schlüssel. Einen speichert er "öffentlich" für Webseiten zur Verifikation abrufbar, den anderen lokal auf dem Rechner des Nutzers.

Webseiten-Betreiber sollen OpenID mit nur geringem Aufwand integrieren können. Zum Ausprobieren von OpenID gibt es diese Testseite: My Favorite Beer

Michael Nickles meint: Warum BrowserID? Generell erfolgt die Kommunikation (das Login) zwischen Webseite und Benutzer über einen "Identitätsverwalter" - halt der, der den "öffentlichen" Schlüssel verwaltet. Dieser Provider kennt aber nur den öffentlichen Schlüssel und nicht den privaten zweiten, der lokal auf dem Rechner gespeichert ist. Das macht die ganze Sache relativ "sicher".

Tatsache bleibt aber unverändert: beim Surfen im Web "hockt ein Dritter mit dabei". Beziehungsweise noch ein weiterer "Dritter". Der eigene Internetanbieter weiß ja bereits, wo man so rumsurft, wo man sich einloggt. Die Mozilla-Leute versprechen natürlich, dass sie das Surf-/Loginverhalten nicht protokollieren.

Wer sich bei Nickles.de anmeldet, der muss eine Email-Adresse angeben und sich einen Benutzernamen aussuchen. Dann kriegt er per Email ein Passwort zugeschickt, das er anschließend auch beliebig ändern kann.

Diese Methode ist die altmodischste und aufwändigste. Aus meiner Sicht aber nach wie vor die "sauberste". Es besteht also aktuell kein Plan, hier irgendwelche Logins mit "Facebook" oder "BrowserID" zu ermöglichen.

bei Antwort benachrichtigen
Hewal Michael Nickles „Neuer Mechanismus für bequemere Anmeldung auf Webseiten“
Optionen

Oder man nutzt Lastpass: Ein Masterpasswort und für die Webseiten, auf denen man sich anmelden muss, kann man sich ein zufälliges Passwort erstellen lassen. Lastpass läuft auf allen gängigen Browsern und legt die Passwörter auf einem Zentralen Server ab.

Für mich, der an ständig anderen Rechnern sitzt um im Web zu arbeiten, äußerst praktisch. Sicherheitsbedenken habe insofern keine, da mein Masterpassword extrem Stark ist. Einzigstes Bedenken könnte man äußern, dass die Firma hinter Lastpass zugriff auf meine Passwörter hat... Aber ich bin nicht paranoid :)

Grüße
Hewal

Schreibfehler sind specialeffects meiner Tastatur.
bei Antwort benachrichtigen