Letzte Woche Freitag war der europäische Datenschutztag. Grund genug für die Mainstream Medien, Berichte über Datenschutz, Benutzerkonten und sichere Passwörter zu bringen. So gab es im Radio Beiträge darüber zu hören, wie denn ein sicheres Passwort auszusehen hat und was die beliebtesten unsicheren Passwörter der Netzbevölkerung sind: ’123456′, ’12345′, ‘geheim’, ‘passwort’.
Tatsächlich führt die große Anzahl von Benutzerkonten, die man sich im Laufe der Zeit zulegt, dazu, dass man sich für die Passwörter echt was überlegen muss. Der bequemste Weg ist es, einfach überall das selbe Passwort zu verwenden, was sehr offensichtlich sehr unsicher ist.

Lösungen

Man kann die Passwörter vom Browser speichern lassen. Beim Firefox führt das dazu, dass die jeder mit der ‘Passwörter anzeigen’ Funktion im Klartext lesen kann, der irgendwie unbeobachteten Zugriff auf den Browser hat, es sei denn man verwendet die Masterpasswort-Funktion. Mittlerweile kann man die gespeicherten Passwörter ja wenigstens per Weave zwischen verschiedenen Rechnern synchronisieren lassen. Zuvor war man bei dieser Methode sonst aufgeschmissen, sobald man mal an einem fremden Rechner saß.
Das gleiche gilt bei der Verwendung des Schlüsselbunds unter OSX: Sitzt man an einem fremden Rechner, dann fehlen einem die gespeicherten Passwörter.
Dass es an der Stelle durchaus einen Leidensdruck gibt, erkennt man auch daran, dass es diverse ‘One Password‘ Applikationen gibt, die sich des Problems mehr oder weniger erfolgreich annehmen.

OpenID

Ein anderer Ansatz ist es, nicht erst viele Identitäten zu kreieren, die verwaltet werden müssen, sondern die Authentifizierung über eine einzelne Identität abzuwickeln. Remove the cause and not the symptoms. Ein offenes und sich immer weiter verbreitendes Protokoll dafür ist OpenID. OpenID ist ein simpler verteilter Identifikationsdienst. Nicht mehr und nicht weniger. Wie Andreas Gohr ganz richtig beschreibt, handelt es sich nicht um verifizierte Identitäten. Es ist genauso leicht eine Fake-OpenID anzulegen, wie ein Fake-Konto auf einer Website. Dieser Screencast beschreibt anschaulich, wie OpenID funktioniert.
Ein OpenID Provider verwaltet die Identität, mit der man sich bei allen OpenID Consumern anmelden kann. Beim Anmeldevorgang wird man mit HTTP-Redirects zu seinem OpenID Provider transportiert, wo man sich authentifiziert und festlegt, in welcher Art man dem Consumer vertraut.
Es gibt mittlerweile eine ganze Reihe von kostenlosen OpenID Providern, und nicht zuletzt bieten mittlerweile viele große Social Websites wie z.B. Facebook und auch die üblichen Schwergewichte wie Yahoo und Google mit ihren Benutzerkonten OpenID Provider Funktionialität.

Delegation

OpenID bietet einen Mechanismus, mit dem die Überprüfung der Identität an einen anderen OpenID Provider weiter delegiert werden kann. Besitzt man eine eigene Domain, dann kann man ohne Software, einfach durch ein paar Tags in einer Webseite, die Verwaltung der Identität von einem OpenID Provider erledigen lassen. Man meldet sich bei den OpenID Consumern mit seiner eigenen Website an. Diese Vorgehensweise ist sogar empfohlen, da es dadurch möglich wird, den tatsächlichen OpenID Provider zu wechseln, ohne dass an den vorhandenen Benutzerkonten irgendwas geändert werden muss.
Für WordPress gibt es ein Plugin, welches das System zugleich zum OpenID Provider und Consumer macht. Man kann sich auf der Site per OpenID einloggen und sich für Kommentare authentifizieren, oder aber das WordPress Benutzerkonto als Grundlage für seine OpenID Identität nehmen.
Für die Kommentare ist das leider nicht ganz so offensichtlich, denn das Häkchen für die Nutzung von OpenID erscheint per Javascript erst, wenn man seine OpenID-Domain als Website ins Formular eingetragen hat und per Javascript festgestellt wurde, dass die eingetragene Domain ein OpenID Provider ist.

• BLÄTTERN / CHRONOLOGISCH
• « 26C3: Tag1-4
• » n900: Glück ist eine Karte von Google-Maps