Identitätssysteme werden erwachsen
2007 wird das Jahr der Online-Identität

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Werden OpenID und Windows Cardspace uns schließlich und endlich von der Vorherrschaft unsicherer Benutzeranmeldungen im Web erlösen?

Viele Passwöter, wenig Sicherheit

Identitätssysteme werden erwachsen

Es scheint, dass 2007 interessant wird, wenn es darum geht, uns im Web zu identifizieren – und dabei auch sicherzustellen, dass wir es wirklich sind und kein Datendieb.

Im Moment ist es kaum möglich, das Internet zu nutzen, ohne die verschiedensten Identitäten für viele Webseiten im Griff zu haben. Diese Sites sind zumeist nur durch einen Benutzernamen und ein Passwort geschützt. Das ist definitiv zu unsicher.

Es gibt inzwischen zahlreiche Initiativen, diesem Problem beizukommen. So bieten sich Internetriesen selbst als Wächter der Online-Identität an. Dafür ist die BBAuth (Browser-Based-Authentication) von Yahoo ein Beispiel. Wer sich auf eine Webseite einloggen will, wird hier auf ein Yahoo Log-in umgeleitet. Mit Zustimmung des Nutzers kann die Webseite dann auf spezifizierte Yahoo-Daten zugreifen. Bei Google finden sich ähnliche Ansätze mit seiner “Account Authentication API”.

Yahoos Browsw Based Authentification nimmt immer den umweg über Yahoo-Server

Microsoft, das 2001 großspurig vorgeschlagen hatte, seinen Passport-Dienst zu einem Identitätsstandard für das ganze Internet zu machen, hat diese Pläne dann wieder verworfen hatte – und holt Passport jetzt wieder als “Windows Live ID” aus dem Keller.

Derartige Maßnahmen haben alle etwas für sich. Sie können das Grundproblem aber nicht lösen, weil niemand eine einzige Instanz haben will, die die Online-Identität eines jeden verwaltet. Interessanter sind solche Systeme, die für verschiedene Provider von Identitäten (Identity Provider) ausgelegt sind.


Neuheiten und Überraschungen bei Identy-Services

Identitätssysteme werden erwachsen

Eines davon ist OpenID, ein Open-Source Projekt, das leicht zu implementieren ist und jedem, der eine URL hat, gestattet, als Identity Provider zu fungieren. Wenn man sich auf eine Seite einloggt, die OpenID akzeptiert, authentifiziert man sich gegenüber seinem OpenID-Provider oder erteilt der Seite die Erlaubnis zum Zugriff auf spezielle personenbezogene Daten. OpenID steckt noch in den Kinderschuhen, aber 2007 wird es schnell wachsen – dank der weit reichenden Unterstützung aus der Internet-Anwender-Community.

Ein dezentral organisiertes Idenity-Management-System auf OpenSource-Basis soll die Abhängigkeit von großen Untenehmen verringern.

Überraschenderweise aber kommt das spannendste System für die Verwaltung der Online-Identität von Microsoft. “Windows CardSpace” ist ein fortschrittliches System zur Verwaltung von mehreren Identitäten. Microsoft bietet ein Nutzer-Interface, das Teil von Internet Explorer 7 ist sowie eine Spezifikation und ein API, die Teil des .Net Framework 3.0 sind.


Microsoft Cardspace verteilt die Daten und verfügt über eine Web-unabhänige Nutzerführung. Es steckt aber noch in den Kinderschuhen.

Wenn sich der Nutzer auf eine Webseite einloggen muss, erscheint ein Dialog zur Auswahl einer Karte. Jede Karte ist ein “Security Token”, repräsentiert einen Identity-Provider und einige persönliche Informationen wie Name und Adresse oder die Kreditkartendaten. Der Nutzer wählt eine entsprechende Karte aus und schickt sie an die Seite, die in der Lage ist, die persönlichen Daten von dem Identity Provider abzurufen. Die Daten sind also nicht mehr alle bei Microsoft – wie die Branche zuvor an Passport bemängelte. Microsoft hilft bei Cardspace nur zu verwalten, welche Informationen bei wem abgelegt sind.


Webseiten mit Login-Formularen sind verrückt

Identitätssysteme werden erwachsen

Einer der Vorzüge von CardSpace ist sein eigenes Nutzer-Interface; es fordert den Nutzer nicht auf, Berechtigungsnachweise in eine Webseite einzugeben. Damit wird CardSpace resistenter gegen Phishing-Angriffe.

Zudem ist es ein fix und fertiges Framework für Unternehmen. Der Haken bei CardSpace ist nur, dass der Support für Crossplattform- und Crossbrowser-Lösungen nicht sehr ausgereift ist, obwohl es einige Java-Implementierungen zu diesem Thema gibt.

In ein paar Jahren werden wir Webseiten, die Login-Formulare anbieten, als verrückt und unsicher betrachten. Wann es so weit ist, wissen wir noch nicht – dieser Zeitpunkt kann nicht früh genug kommen. Aber rechnen Sie 2007 schon mit einigen Angeboten verschiedener Hersteller.