Login-Methoden Facebook profitiert vom Passwort-Chaos

Wer sich im Web bewegt, hat zig Identitäten, für jedes Angebot einen Nutzernamen und ein Passwort. Das nervt! Dabei gibt es mit OpenID seit Jahren eine Alternative. Davon haben Sie nie gehört? Das könnte an Facebook liegen.

SPIEGEL ONLINE

Von


Ein sicheres Login für alle Webseiten: Es könnte so einfach sein. Wenn die Betreiber von Diensten und Webseiten denn mitspielten. Das Prinzip heißt "Single Sign-on", und die nötige Technik dazu gibt es seit Jahren. Unter dem Namen OpenID haben große Web-Unternehmen einen offenen Standard entwickelt.

So funktioniert es: Man sucht sich einen Web-Dienst, bei dem man sich eine OpenID erstellt, zum Beispiel CloudID.de. Das ist der sogenannte Identitätsprovider. Will man sich bei einer Website anmelden, ohne sich dort extra ein Nutzerkonto einzurichten, gibt man dort einfach einen Link auf seine OpenID ein. Im Hintergrund bekommt die Webseite dann eine Bestätigung geschickt (siehe Fotostrecke).

Weil aber viele Nutzer eher über einen Facebook-Account verfügen und von OpenID noch nie gehört haben, bieten viele Webseiten lieber ein Facebook-Login an. Das funktioniert so ähnlich - allerdings bestätigt Facebook nicht nur, wer da vorbeikommt, sondern kann zusätzliche Daten herausgeben. Die E-Mail-Adresse und die Freundesliste zum Beispiel.

OpenID als universeller Web-Ausweis

Auch andere große Web-Firmen wie Google, Yahoo, Twitter oder PayPal stellen ihren Nutzern einen zentralen Web-Ausweis zur Verfügung. Die Anbieter von Webseiten müssen sich nur darauf einlassen. Statt vieler Passwörter merkt man sich nur noch einige wenige. Das muss nicht schlecht sein: Viele Accounts der großen Anbieter lassen sich gut absichern, mit einer Zwei-Faktor-Authentifizierung.

Dabei muss man nicht nur ein Passwort eingeben, sondern bekommt zusätzlich zum Beispiel einen Zahlencode aufs Handy geschickt, wie beim Online-Banking. Allerdings gibt man so noch mehr Information über seine Nutzungsgewohnheiten preis. Und je mehr Webseiten Facebook als Login-Dienst voraussetzen, desto weniger kommt man als Nutzer um ein Konto bei dem Milliardennetzwerk herum.

Ganz anders funktioniert OpenID: Hier kann man sich aussuchen, wen man seine Identität verwalten lässt. Unter den zahlreichen Anbietern befindet sich auch Google. Aber man kann sich auch selbst einen OpenID-Server einrichten und so zum Selbstverwalter seiner Identität werden. Vor allem aber kann man sich eine oder mehrere Identitäten ausdenken, auch mit völlig frei erfundenen Namen - was bei Facebook-Kontos schwerer ist.

Fingerabdruck lässt sich kopieren

Auch der Firefox-Hersteller Mozilla hat eine Zeitlang an einem solchen System gearbeitet. Persona sollte das Google- oder Facebook-Login ersetzen, mit mehr Datenschutz. Doch weil zu wenige Webseiten und Dienste mitmachen wollten, hat Mozilla gerade die Entwickler von dem Projekt abgezogen- sie sollen sich nun um wichtigere Dinge wie das Firefox-Handy und einen App-Store kümmern. Seitdem läuft Persona auf Sparflamme.

Gute Gründe für einen offenen, dezentralen Standard wie OpenID. Zur allgemein anerkannten Web-Ausweistechnik ist das Protokoll allerdings in all den Jahren nicht geworden. Vielleicht tragen die Passwort-Katastrophen der jüngeren Vergangenheit dazu bei, dass alternative, dezentrale Identifikationsmethoden fürs Netz eine dringend nötige Renaissance erleben.

Forum - Diskutieren Sie über diesen Artikel
insgesamt 20 Beiträge
Alle Kommentare öffnen
Seite 1
moneysac123 16.04.2014
1. optional
Fingerabdruck, DNA, digitale Identitäten, Passwörter, lassen sich alle mißbräuchlich durch dritte einsetzen (Täter hinterlässt fremde DNA am Tatort, Kopie von Fingerabdrücken, kann nicht nur James Bond. Daher: Daten möglichst unter Verschluss halten und schützen!
mnemosyn3 16.04.2014
2. Mit Vorsicht zu genießen
Das ist ja alles nicht falsch, aber leider hat OpenID ein so komplexes und fehlerafälliges Protokoll, dass man hier allenfalls vom Regen in die Traufe kommt. OpenID serverseitig korrekt zu implementieren ist so gut wie unmöglich, und wie weit man bei den komplizierten Angriffen Bibliotheken trauen kann oder diese prüfen kann ist leider fraglich, obendrein muss man auch noch dem OpenID-Anbieter trauen. Das letzte Scheunentor in Mozilla Persona ist vom Oktober 2013 und leider erlaubt ein solcher Angriff dann auch gleich *alle* Online-Konten auf einmal zu kapern. Die Authentifizierung via Facebook hingegen findet per OAuth statt, was man nicht direkt vergleichen kann, seit OAuth 2.0 sind die grenzen aber fließend. Man mag auf Google und Facebook schimpfen wie man will, aber das OAuth 2 Protokoll ist viel besser als das absurd komplizierte OpenID. Erfahrungsgemäß gilt: komplexe Protokolle sind in der Praxis oft unsicher.
ziegenkemper 16.04.2014
3. Europäischer Standard
Ja, bitte unbedingt sollte hierfür ein europäischer Standard geschaffen werden und gleichzeitig alle Interportale europaweit verpflichtet werden ein Login auch über diesen zu ermöglichen! Wäre doch ein schönes Projekt für GRüNE IT Politik.
tgu 16.04.2014
4. Hm,
statt mehrer Anbieter zu Hacken, brauch ich jetzt nur noch den OpenID-Anbieter zu Hacken und habe gleich den Zugang zu mehreren Web-Diensten! Echt tolle verbesserung.
www.yzx.de 16.04.2014
5. Janee', is' klar.[tm]
Zitat von sysopWer sich im Web bewegt, hat zig Identitäten, für jedes Angebot einen Nutzernamen und ein Passwort. Das nervt! Dabei gibt es mit OpenID seit Jahren eine Alternative. Davon haben Sie nie gehört? Das könnte an Facebook liegen. http://www.spiegel.de/netzwelt/web/passwort-alternative-openid-gegen-facebook-connect-a-964327.html
Weder gesichtsbuch noch Open-ID sind Alternativen zu individuellen Passworten. Es sei denn, der Nutzer möchte sein Persönlichkeitsprofil komplett offenlegen und allumfassendes Tracking erlauben. Wer bei gesichtsbuch ist, den stört das nicht, also ist gegen die Methode prinzipiell nix einzuwenden. ;-) Mein Vorschlag für alle Anderen isf folgender: Jedes "Konto" (jeder "Account") bekommt ein individuelles Passwort und wenn möglich auch eine individuelle Mailadresse und die speichert der Nutzer dann im Passwortcontainer von Firefox oder mit einem anderen Hilfsmittel, dass das Gleiche leistet. Dann braucht's nur ein einziges Passwort für die Nutzung und jeder Account ist trotzdem individuell abgesichert. Für 99 Prozent der Anwendungsfälle sollte das ausreichen. Und wer PINs und Passworte für's Onlinebanking speichert, dem ist eh' nicht mehr zu helfen. ;-)
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.