Allgemeines 21.915 Themen, 147.228 Beiträge

News: Mozilla BrowserID

Neuer Mechanismus für bequemere Anmeldung auf Webseiten

Michael Nickles / 6 Antworten / Flachansicht Nickles

Die meisten Webseiten können nur dann vollständig genutzt werden, wenn man sich als Mitglied anmeldet. Und auch wenn das kostenlos ist, braucht es für jede Webseite erneut eine Anmeldung, zumindest Email-Adresse und ein Wunschpasswort sind fällig.

Diese Registrierung ist gleichermaßen lästig wie sich jedes Mal anmelden zu müssen, so man das nicht permanent tut. Permanent klappt typischerweise natürlich sowieso nur auf jeweils einem Rechner und einem Browser.

Wer mehrere Rechner und Browser verwendet, vervielfacht zwangsläufig den Aufwand. Hinzu kommt die "Faustregel", dass man seine Passwörter ja regelmäßig ändern soll um Missbrauch vorzubeugen.

Und ein Standardtipp der Sicherheitsexperten ist es auch, für jede Webseite ein eigenes Passwort zu verwenden. Und natürlich sollen Passwörter möglichst lang, so kompliziert sein, damit sie sich selbst nicht mal merken kann. Die theoretisch bequemste Lösung ist natürlich die, sich nur einmalig "im Internet" anmelden zu müssen und dann alle Webseiten ohne weiteres Login komplett nutzen zu können.

Lösungsansätze dafür gibt es bereits diverse, eine aktuell populäre Methode ist die, sich bei Webseiten beispielsweise gleich mit seinen "Facebook-Daten" einloggen zu können.


Beispiel Community-System Disqus. Diese moderne "Foren-Software" wird auf diversen Werbseiten eingesetzt. Statt sich direkt bei einer Webseite anzumelden, kann man beispielsweise einfach seine Facebook-Anmeldunsdaten an eine Seite weiterreichen.

Ein Webseiten-übergreifendes Login gibt es seit 2007 auch mit der Open Souce Lösung OpenID. Kurzum: es existieren bereits viele Lösungen, von denen sich allerdings wohl noch keine wirklich durchgesetzt hat. Anders lässt es sich kaum erklären, dass die Mozilla-Entwickler (Firefox) jetzt ihr neues Open Source Projekt BrowserID / Verfied Email Protocoll vorgestellt haben.

Der Denkansatz ist recht simpel. Benutzer sollen einer Webseite ihre Identität beweisen können, indem sie ihr einfach zeigen, dass sie der Besitzer eines Email-Kontos sind. Zum Einloggen auf einer Webseite muss man dann nur noch eine eigene Email-Adresse eingeben, zu deren Konto man auch Zugang hat.

Email-Adressen, die man für Webseiten universell als Login verwenden will, müssen einmalig beim "BrowserID"-Dienst registriert werden. Der jeweilige Email-Provider (so er bei OpenID mitmacht) generiert dann zwei Schlüssel. Einen speichert er "öffentlich" für Webseiten zur Verifikation abrufbar, den anderen lokal auf dem Rechner des Nutzers.

Webseiten-Betreiber sollen OpenID mit nur geringem Aufwand integrieren können. Zum Ausprobieren von OpenID gibt es diese Testseite: My Favorite Beer

Michael Nickles meint: Warum BrowserID? Generell erfolgt die Kommunikation (das Login) zwischen Webseite und Benutzer über einen "Identitätsverwalter" - halt der, der den "öffentlichen" Schlüssel verwaltet. Dieser Provider kennt aber nur den öffentlichen Schlüssel und nicht den privaten zweiten, der lokal auf dem Rechner gespeichert ist. Das macht die ganze Sache relativ "sicher".

Tatsache bleibt aber unverändert: beim Surfen im Web "hockt ein Dritter mit dabei". Beziehungsweise noch ein weiterer "Dritter". Der eigene Internetanbieter weiß ja bereits, wo man so rumsurft, wo man sich einloggt. Die Mozilla-Leute versprechen natürlich, dass sie das Surf-/Loginverhalten nicht protokollieren.

Wer sich bei Nickles.de anmeldet, der muss eine Email-Adresse angeben und sich einen Benutzernamen aussuchen. Dann kriegt er per Email ein Passwort zugeschickt, das er anschließend auch beliebig ändern kann.

Diese Methode ist die altmodischste und aufwändigste. Aus meiner Sicht aber nach wie vor die "sauberste". Es besteht also aktuell kein Plan, hier irgendwelche Logins mit "Facebook" oder "BrowserID" zu ermöglichen.

bei Antwort benachrichtigen
reader Michael Nickles „Neuer Mechanismus für bequemere Anmeldung auf Webseiten“
Optionen

und was ist die killerfeature, die es besser als openID machen soll? openID dienst kann ich sogar auf meinem rechner laufen lassen - da habe ich alle fäden in der hand. bringt nix - da hat man doch lieber einfach die passwörter im passwordmanager und fpr unwichtige seiten ist es halt 123.. ich kenne m,ein nickles password nicht mal - wei les mir unwichti gist, es hängen keine relevanten daten oder sonstwas an diesem account.

bei Antwort benachrichtigen