Woher weiß man eigentlich, dass die Person, die auf unterschiedlichen Websites einen Kommentar hinterlassen hat, identisch mit einer anderen unter gleichen Namen ist? Auf wie vielen Website haben Sie sich mit demselben Passwort angemeldet? Der kanadische Web-Entwickler Dick Hardt, den ich auf der IIR-Konferenz in Köln vor kurzem kennengelernt habe, setzt dazu auf sein OpenID-Protokoll Sxip Identity. Er ist laut einem Interview mit Mario Sixtus im Elektrischen Reporter (siehe Video) der Ansicht, dass das Internet deshalb so erfolgreich geworden ist, "weil man
nicht mehr tippen musste, sondern einfach klicken konnte.”
Sein Online-Identitätssystem Sxip erleichtert tatsächlich das Verwalten von Passwörtern und erspart dem Onliner das nervige Eintippen der immergleichen Informationen in Web-Formulare und erleichtert daher auch die Partizipation am Mitmach-Web. Anders als die Kritiker der Online-Identitätsidee ist Hardt der Ansicht, dass OpenID nicht den Datenschutz schwächt, sondern diesen sogar stärkt. Schließlich sei es heute ein leichtes, ein einmal gewonnes Passwort zu missbrauchen, da viele Nutzer gerade einmal zwei oder drei Passworte für das ganze Web nutzen. Erst Identitätsprotokolle erleichtern den sicheren Umgang mit der eigenen Online-Identität und erleichtern das Verwalten zahlreicher Passwörter.
Durch das Sxippen kann ich seit einigen Tagen wesentlich schneller meine Anmeldeprozeduren abwickeln und kann daher dessen Nutzung nur empfehlen. Wer dem OpenID-Provider grundsätzlich nicht vertraut, sollt sich zumindest fragen lassen, inwieweit man seinem Zugangsprovider vertrauen kann…
>> Elektrischer Reporter: 29: Dick Hardt über die Vorteile von Online-Identitätssystemen
>> Elektrischer Reporter: 28: Ralf Bendrath über die Risiken von Online-Identitätssystemen
>> Dirk Hardts Präsentation Identity 2.0
Klaus Eck
Die digitale Persönlichkeit
Kümmert man sich heute beim PR-Blogger um das Thema Identitätsverlus – finde ich umgehend einen Service, der eigentlich zeigt, wieviel Identität man bereits im Internet gelassen hat. Der ekaabo Blog aus der Metropolregion Rhein Neckar 🙂 stellt den Die…
Mir stellt sich außerdem die Frage, was wäre wenn dir jemand was böses will!?
Angenommen ich mag dich und dein Blog nicht, dann gehe ich auf ein größeres Blog (ein sogenanntes A-Blog 😉 und hinterlasse unter deinem Namen obszöne, rassistische, etc. Kommentare. Jeder würde denken DU hast das geschrieben!
Ich bin z.B. auch auf keinen meiner abonnierten Blogs angemeldet. Es könnte also auch mich treffen!
Die Frage ist – sollte man sich bei Blogs nun anmelden, sofern man sich registrieren darf? Oder denkt ihr, so etwas passiert doch eh nicht?
Es ist wirklich sehr leicht, die Identität eines anderen anzunehmen und somit in dessen Namen zu agieren. Erst gute OpenID-Konzepte schützen uns wirklich davor. Deshalb bin ich gespannt, wie sich die Authentifizierungen in Blogs künftig verbessern lassen.
Nun muß ich doch mal ein bisserl bohren. Denn so locker flockig wie das im Video dargestellt wird, so überzeugt mich das noch nicht.
Der Zugangsprovider
Ich hoffe, dass den Machern noch etwas fundierteres und nachhaltigeres zur Sicherheitsdebatte einfällt als ein „du musst aber auch deinem zugangsprovider vertrauen, warum also nicht uns“. Ja, das vor dem Komma stimmt so, kann man nicht bestreiten. Aber: Nur weil ich hier ein Vertrauensproblem habe heisst das ja noch lange nicht, dass ich mir noch weitere ans Bein binden muß.
Der Nutzer
Es gibt, nicht nur, für E-Mail und Daten ein sehr gut funktionierendes Identitätssystem: Digitale Signaturen. Das geht sogar so weit, dass ich bei uns in der Stadt eine hochoffizielle bekomme, wenn ich persönlich mit Personalausweis aufs Amt gehe. Und es gibt solche, die man nur gegen gültige E-Mail bekommt (beides übrigends kostenlos) und alle Varianten dazwischen.
Die Anwendung ist auch gar nicht so fürchterlich schwer. Auf die Festplatte oder den USB-Stick damit, dem Zertifikatestore im IE oder im Mailprogramm Bescheid gesagt – einmaliger Aufwand – und ein Knöpfchen zum digitalen Unterschreiben gedrückt. Nicht schwer und sicher.
Nur: Kaum jemand setzt digitale Signaturen ein. Niemand verschlüsselt damit, obwohl bekannter Maßen der E-Mail-Verkehr abgehört wird. Warum also sollte jemand OpenID einsetzen?
Über digitale Signaturen diskutieren wir wirklich schon seit halben Ewigkeiten. Besonders nutzerfreundlich fand ich die mir bekannten Konzepte nicht.
Hingegen zeichnet sich zumindest Sxip dadurch aus, dass man damit sehr leicht viele Daten verwalten und nutzen kann.
Letztlich ist es immer eine Vertrauensfrage, die jeder für sich selbst beantworten muss. Im Alltag profitiere ich jedenfalls vom Sxip-Ansatz, weil ich mich nicht jedesmal von Neuem auf Websites anmelden muss.
First of all I apologize for commenting in English …
I’m afraid passwords are here to stay. Together with all those other pieces of information that we need to store and protect from unauthorized accesses: PINs, credit card numbers and CVVs, software keys, cd keys, burglar alarm code, …
(Yes, I’m a bit biased …)
What we really need are better options to store and protect the set of confidential data that constitutes an important portion of our identity.
Clipperz (http://www.clipperz.com) is an online password manager where users can save the details of their online accounts and quickly enable the “direct login” functionality: just one click to authenticate and access the online service without typing any username and password.
But you can also use Clipperz to store any other kind of data. It’s free and completely anonymous.
Clipperz does solve the password management problem, but it mainly gives a practical demonstration of a new breed of web applications: the „zero-knowledge“ web apps.
Applications where the provider is simply in charge of delivering the Ajax code to the user’s browser and then storing user’s data in an encrypted form on its servers. Clipperz lets you submit confidential information into your browser, but your data are locally encrypted by the browser itself before being uploaded.
The „zero-knowledge“ paradigm could be used for a wide range of applications: a personal finance manager, a confidential to-do list, patient records for physicians, …
Detailed information about the crypto foundations are available here:
http://www.clipperz.com/learn_more/crypto_foundations
Marco
Clipperz co-founder
http://www.clipperz.com.