flashnfantasy: Die Hölle der tausend Logins

Es ist wiedermal soweit...

interessante Website (Kleinanzeigen), ich will rein, bin aber nicht sicher, habe ich mich dort schon angemeldet, wenn ja, unter welchen Namen und welches Passwort.

Mit Web2.0 komme ich zwangsweise dazu, überall mich mit dem selben Namen und dem selben Passwort anzumelden.

Wo immer es geht, schreibe ich beides in das Lesezeichen rein, damit ich beim Aufrufen der Seite alles bereit habe.

Insgesamt neige ich dazu, Profile oder was auch immer nur einmal zu aktivieren, und dann zu vergessen, bis zu dem Zeitpunkt, an denen ich mal zufällig wieder reinschaue.

Jetzt habe ich selbst eine Web-Community, und merke, daß ich da noch reichlich Disziplin habe. Irgendwie erinnere ich mich an eines meiner 5 häufigsten Passwörter.

Es ist eine keine wahnsinnig neue Erkenntniss, daß Websites mit Login entweder fast tagtäglich genutzt werden müssen, oder sie gehen verloren. Viele Leute werden auch abgeschreckt durch endlose Formularfelder, die bei jeder neuen Website eingegeben werden müssen.

Was ist da jetzt zu tun ? Wie schaffe ich es, eine Schlüsselhilfe zu erzeugen, die mir (und allen anderen) auch bei sehr seltenen Websitebesuchen das Aufrufen oder Verwalten erleichtert (übrigens Mail-Adresse hinterlegen die wenigsten)

Ich habe schon echt überlegt, ob ich eine Website erstelle, die ähnliche wie Lesezeichen alle Login-Daten verwaltet - aber wer würde einer solchen Website vertrauen ? Persönliche Daten kann man nicht öffentlich ablegen.

Gruß,
Flash

  1. oO

    Nicht auszudenken was passiert wenn dir einer diese Page hackt

    *nicht in deiner haut stecken will*

    ^^

  2. Hallo,

    öhm, eigentlich alle Browser erlauben es heutzutage, Passwörter zu speichern - und zumindest Firefox und Konqueror erlauben, die gespeicherten Passwörter mit einem einzigen Master-Passwort zu sichern (wie's bei IE, Opera und Safari aussieht, weiß ich nicht). Insofern: Wozu eine extra Webseite, die nur ein potentielles Sicherheitsrisiko darstellt?

    Viele Grüße,
    Christian

    1. Nur zur Info:
      Opera kann es auch

  3. Mit Web2.0 komme ich zwangsweise dazu, überall mich mit dem selben Namen und dem selben Passwort anzumelden.

    Was hat Web 2.0 damit zu tun? Das ein Anmelden an sich möglich ist vermutlich.   ;)
    Ausserdem solltest Du Dir überlegen zumindest bei wichtigen Accounts andere Anmeldedaten anzulegen.

  4. Moin!

    interessante Website (Kleinanzeigen), ich will rein, bin aber nicht sicher, habe ich mich dort schon angemeldet, wenn ja, unter welchen Namen und welches Passwort.

    Wann immer ich mich mit meinem Browser Opera an irgendeiner Site anmelde, fragt der Browser, ob er die genutzten Anmeldedaten speichern soll.

    Und wenn ich wieder auf diese Site komme, zeigt er mir durch zusätzliche gelblich Rahmen in den Anmeldefeldern an, dass er Anmeldedaten gespeichert hat, die ich mit einer einfachen Tastenkombination direkt einfügen und abschicken kann.

    Fertig ist der Login.

    Und zur Absicherung der Anmeldedaten kann man ein Masterpasswort vergeben.

    - Sven Rautenberg

    --
    "Love your nation - respect the others."
  5. Hallo,

    Mein persönlicher Ansatz ist es derzeit, HTTP Login-Daten in Mac OS X' Schlüsselring zu speichern und „wichtige“ Login noch mal extra in einer verschlüsselten Datei. Aber ja, es ist nervig, das noch zu verwalten.

    Ich habe schon echt überlegt, ob ich eine Website erstelle, die ähnliche wie Lesezeichen alle Login-Daten verwaltet - aber wer würde einer solchen Website vertrauen ? Persönliche Daten kann man nicht öffentlich ablegen.

    Inzwischen gibt es einen neuen Ansatz, das Single-SignOn-Problem zu lösen; diesmal nicht zentralisiert mit einer Webseite oder einen Service wie noch Microsofts Passport, sondern dezentralisiert. Es heisst OpenID und wurde ursprünglich von der Weblog-Firma LiveJournal entwickelt, ist aber jetzt ein freies System mit ziemlicher Unterstützung in der Industrie, sogar Microsoft will da was machen.

    Konzeptionell sieht das so aus:

    1. Nutzer Adam will sich bei der Webseite Bärenforum authentifizieren, um dort über den Geschmack von gegrillten Eisbärenpfoten zu diskutieren.
    2. Adam tippt eine URL (seine Identität) bei Bärenforum ein. Bei ihm ist das http://example.org/~adam/, seine Homepage.
    3. Die Software hinter Bärenforum ruft die URL ab und findet dort die Adressierung von Adams Identitäts-Provider. Das sei dann mal Caros Identitätsdienst.
    4. Bärenforum verbindet sich mit Caros Identitätsdienst und kündet an, dass er gerne ein Ja hätte, dass Adam wirklich hinter dieser URI steckt.
    5. Adam authentifiziert sich bei Caros Dienst. Normalerweise wird er direkt per Redirect vom Bärenforum auf die Caro-Seite gesendet, das kann - wenn ich das richtig verstehe - aber auch anders geschehen, zum Beispiel über Jabber oder E-Mail oder, oder, oder. Wichtig zu wissen ist, dass Adam sich nur bei Caro authentifiziert – und die kennt er schon vorher, hat er doch einen Account dort.
    6. Adam stimmt in Caros Service zu, dass er sich beim Bärenforum einloggen will und dass das zukünftig automatisch gehen soll.
    7. Caro Software erzählt der Bärensoftware, dass Adam tatsächlich Adam ist und rein will.
    8. Caros Seite leitet Adam wieder zurück auf die Webseite Bärenforum.
    9. Adam ist beim Bärenforum eingeloggt; inzwischen hat ihm aber jemand erzählt, dass Bären auf der Liste bedrohter Tierarten steht und er will gar nicht mehr diskutieren.

    (Vereinfacht dargestellt, natürlich)

    Es gibt also drei Parteien: Der zu Identifizierende, der Dienst, bei dem man sich Identifizieren will und der Identitätsprovider. Sprich: Anstatt sich überall neu zu identifizieren, dass man tatsächlich derjenige hinter dem Benutzernamen xyz ist, macht man das nur bei bei seinem eigenen Identitätsprovider - und dieser erzählt es dann allen anderen. Streng genommen braucht man dann auch keine Anmeldeprozedur mehr; als Nutzername gilt dann einfach nur die URL, bei Adam also http://example.org/~adam/.

    Und man hängt auch nicht von dem Identitätsprovider ab; man kann den gut auswechseln, kann man die Metadaten, die von der eigenen URI auf den Identitätsprovider zeigen auch auswechseln und auf einen anderen Provider zeigen können. Die gibt's inzwischen haufenweise, z.B. kann jeder AIM-Screenname auch dadurch identifiziert werden. Oder man ist sein eigener Provider und hat entsprechende Software dafür auf dem eigenen Webspace.

    Auch wenn OpenId schon in Version 2.0 spezifiziert wird, wird es noch teilweise stark diskutiert; inbesondere in den letzten Monaten. Ein möglicher Angriffspunkte wär z.B. Phishing: Die Identifizierung beim Identitätsprovider wird abgefangen und/oder weiter geleitet um an die dortigen Daten zu kommen. Es ist lösbar, aber jegliche Lösung vergrößert die Schwelle für Unwissende. Etwas anderes, dass ich mir unangenehm vorstelle, wäre Spamming. Aber all das sind Probleme, unter denen auch das bestehende Web leidet. OpenId bleibt trotzdem eine interessante Lösung und meiner Meinung nach sprichts nichts dagegen, wenn neue Web-Anwendungen mit Login dies zusätzlich anbieten; im Gegenteil. (Ja, ich bin ein Fan)

    Sollte das oben zu abstrakt gewesen sein: Simon Willison hat einen Screencast erstellt, der das Prozedere aus Nutzersicht schildet. Das dürfte erhellender sein.

    http://simonwillison.net/2006/Dec/22/screencast/

    Tim

    1. [...] im Gegenteil. (Ja, ich bin ein Fan)

      Dir sind die Implikationen schon klar bei dieser Vertrauensübertragung.

      Würden Wir nicht machen, da ist eine (nicht erforderliche) dritte Partei dabei und die Vorteile halten sich in engen Grenzen.

      Oder anders und etwas provokativer formuliert: Kann man sowas machen und gegen Wahlautomaten sein? (Falls Du es bist, das haben Wir ja nicht induziert.)

      1. Hallo King^Lully,

        Würden Wir nicht machen, da ist eine (nicht erforderliche) dritte Partei dabei und die Vorteile halten sich in engen Grenzen.

        Für dich als Provider vielleicht - für die Nutzer aber in jedem Fall. Ich sehe nicht ein, dass ich mich irgendwo registrieren (und auch noch auf 'ne Bestätigungsmail warten) soll, wenn ich nur zu irgendeiner Forums/Boarddiskussion meinen Senf dazugeben will. Dann lasse ich es halt und besuche die (deine!) Seite niiiie wieder.

        Grüße aus Freiburg,
        Marian

        --
        Microsoft broke Volkswagen's world record: Volkswagen made only 22 million bugs!
        <!--[if IE]><meta http-equiv="refresh" content="0; URL=http://www.getfirefox.com"><[endif]-->
        1. Würden Wir nicht machen, da ist eine (nicht erforderliche) dritte Partei dabei und die Vorteile halten sich in engen Grenzen.
          Für dich als Provider vielleicht - für die Nutzer aber in jedem Fall. Ich sehe nicht ein, dass ich mich irgendwo registrieren (und auch noch auf 'ne Bestätigungsmail warten) soll, wenn ich nur zu irgendeiner Forums/Boarddiskussion meinen Senf dazugeben will. Dann lasse ich es halt und besuche die (deine!) Seite niiiie wieder.

          Nur mal so interessehalber, was hast Du denn verstanden, was Wir geschrieben haben?

          1. Hallo King^Lully,

            Nur mal so interessehalber, was hast Du denn verstanden, was Wir geschrieben haben?

            Oh, sorry, ich glaub' ich hab da was verwechselt. Ich hatte das irgendwie so verstanden: Du willst eine Seite erstellen, auf der man sich registrieren muss, und willst es nicht mit OpenID machen („Würden Wir nicht machen“). Frag mich nicht, wie ich da drauf gekommen bin ;) (Wahrscheinlich weil am Anfang jemand was von Seite erstellen schrieb.)

            Grüße aus Freiburg,
            Marian

            --
            Microsoft broke Volkswagen's world record: Volkswagen made only 22 million bugs!
            <!--[if IE]><meta http-equiv="refresh" content="0; URL=http://www.getfirefox.com"><[endif]-->
      2. Hallo Ludger,

        Dir sind die Implikationen schon klar bei dieser Vertrauensübertragung.

        Natürlich. Jeder Prozess mit mehreren beteiligten Entitäten, seien es juristische oder natürliche Personen oder eben Software (Deswegen der halbwegs passende Begriff Entität. Mitspieler wäre auch passend) erfordert Vertrauen gegenüber diesen Entitäten. Das heisst das Vertrauen in den Prozess hängt ausser von dem Vertrauen in den Algorithmus auch von Vertrauen in alle beteiligten Ebenen und Entitäten ab.

        Daraus folgen für mich zwei Dinge: Zum einen ist ein Prozess mit weniger Beteiligten Entitäten vertrauenswürdiger. Das ist das, worauf Du mich gerade ansprichst. Zum anderen die damit verwandte Folgerung, dass ein Prozess, bei dem man nicht Überblick über alle Entitäten hat oder Möglichkeit zur Vertrauensbildung bestehender Entitäten weniger vertrauenswürdig.

        Würden Wir nicht machen, da ist eine (nicht erforderliche) dritte Partei dabei

        Die dritte Partei wird auch nicht erfordert; sie ist nur möglich. Man kann ebenso gut sein eigener Identitätsprovider sein, auf seinem eigenen Webspace. Und wie gesagt: Man hängt nicht vom Identitätsprovider ab – man kann ihn auswechseln.

        Warum die Möglichkeit einer dritten Partei? Weil eben nicht jeder die technische Fähigkeit für das Hosting der für OpenID-Auth notwendige Software hat und weil nicht jeder Lust hat, selber zu hosten. Dadurch gibt es Drittdienste, die das als Service anbieten. Du diskutierst doch selber bei Stefan mit, der sich explizit auf eine Reise durch die neuen Webdienste von Anbietern gemacht hat.

        und die Vorteile halten sich in engen Grenzen.

        Sicherlich. Allerdings befinden wir uns gerade in einem Thread, in dem gerade über das Fehlen einer Single-SignOn-Lösung gejammert wird. Offenbar besteht Bedarf. ;)

        Oder anders und etwas provokativer formuliert

        (Ludger, Dir ist aber schon klar, dass Du wesentlich mehr sympathischer wärst, würdest Du auf Stilmittel wie gezielte Provokation, Polemik, „Stammtisch modern“ verzichten würdest? Dass Du Dein Image und damit die Qualität der Diskussionen stark verbessern könntest, wärest Du weniger Kunstfigur und mehr Mensch? Ja? Ich wollte das nur noch mal wieder am Rande vorschlagen.)

        Kann man sowas machen und gegen Wahlautomaten sein? (Falls Du es bist, das haben Wir ja nicht induziert.)

        Ich bin es sogar. Und zwar genau aus den Resultaten von obigen Vertrauensbewertungskriterien. Wahlautomaten fügen dem Prozess mehr Mitspieler hinzu, zusätzlich den bereits bestehenden (Wahlhelfer, Wahlleiter auf verschiedenen Ebenen, Software zur Verarbeitung der Resultate). Der offensichlichste neue Mitspieler ist der Wahlautomat selber, aber um mein Vertrauen zu diesem entwickeln zu können, muss ich schon wieder mehr Mitspieler bewerten:

        • Die die Wahlautomaten herstellende Firmen. Diese ist naturgemäß nicht sonderlich transparent; die niederländische Firma, die die deutschen Wahlautomaten herstellt sticht euphemistisch ausgedrückt nicht gerade durch vertrauensbildende Massnahmen wie Ehrlichkeit, Transparenz und Aufrichtigkeit hervor.

        • Die staatlichen Organe, die die Wahlautomaten überprüfen. Man ganz abgesehen davon, dass es mir vollkommen unverständlich ist, dass die PTB die Überprüfung übernimmt und nicht das in meiner Meinung kompetentere BSI, glänzt der Bericht der PTB mit Passagen, bei denen ich mir nur noch verständnislos an den Kopf fassen kann; insbesondere das glatte Vertrauen auf den Hersteller (Die berüchtige Siegel-Passage).

        • Diejenigen, die die Wahlautomaten aufbewahren und vor Manipulation schützen. Dazu gibt es so gut wie keine Informationen, anhand derer man die Vertrauenswürdigkeit bewerten kann.

        • Das angepasste Prozedere der Wahlhelfer um die Vertrauenswürdigkeit der Wahlautomaten zu gewährleisten. Die Berichte aus Cottbus sind da nicht besonders vertrauenserweckend; auch meine eigenen (viel zu spärlichen) Beobachtungen hier in Dortmund erzeugen für mich nicht genug Vertrauen. Ja, ich hab auch schon auf Wahlautomaten gewählt. Ich war jung und dumm. ;)

        Um es in Deinen Wort zusammenzufassen: Es erfordert Vertrauen gegenüber nicht erforderlichen Dritten Parteien und die scheinbaren Vorteile halten sich in sehr engen Grenzen.

        Dazu kommt noch ein weiterer, gesellschaftlicher Aspekt: Ein Prozess, gegenüber dem man skeptischer ist erzeugt einen Vertrauensverlust, auch in Bezug auf Kontrollierbarkeit und Nachvollziehbarkeit. Die Wahl von Repräsentanten, egal wie man den Repräsentanten gegenüber steht, ist einer der wesentlichen Akte einer Repräsentanten-Demokratie und man sollte sich bemühen, diesen so vertrauenswürdig wie möglich zu gestalten. Der Worst Case muss ja nicht mal 99%-Ergebnisse wie unter den Ländern des Neuen Europas zur Zeit der Herrschaft von Einheitsparteien sein. Es reicht schon aus, dass das Vertrauen in den Prozess beschädigt ist; Manipulation ist ja umso geschickter, desto weniger auffällig.

        Ich bin garantiert kein Luddit mit der alleinigen Motivation des Dagegenseins, bessere und vertrauenswürdigere Systeme hätten durchaus meine Sympathie. Ich würde einfach nur gerne mehr Vorteile als Nachteile sehen, ehe ich an einem so Hohen Gut rumfrickel. Denn ansonsten bleibe ich konservativ und bewahre lieber das bestehende, relativ gut funktionierende System.

        Tim

        (sich hiermit in diesem Thread aus dem Thema Wahlcomputer verabschiedend.)

        1. Dir sind die Implikationen schon klar bei dieser Vertrauensübertragung.

          Daraus folgen für mich zwei Dinge: Zum einen ist ein Prozess mit weniger Beteiligten Entitäten vertrauenswürdiger.

          Zwei Beteiligte reichen für "Login-Zwecke", eventuell eine CA.
          Übrigens ist es nicht unbedingt die Anzahl der Beteiligten, die Uns nicht so gefällt...

          Würden Wir nicht machen, da ist eine (nicht erforderliche) dritte Partei dabei

          Die dritte Partei wird auch nicht erfordert; sie ist nur möglich. Man kann ebenso gut sein eigener Identitätsprovider sein, auf seinem eigenen Webspace. Und wie gesagt: Man hängt nicht vom Identitätsprovider ab – man kann ihn auswechseln.

          ... denn der "Identitätsprovider" (Heisst das so? Ein wenig missverständlich, oder?) ist das Problem.

          Oder anders und etwas provokativer formuliert:
          Kann man sowas machen und gegen Wahlautomaten sein?

          Vorausschickend möchten Wir hier anmerken, dass Wahlautomaten nur das letzte Tüpfelchen in einer ohnehin stark IT-geprägten Wahlinfrastruktur sind, insofern können Wir es ganz und gar nicht verstehen, dass ausgerechnet (und einzig?) die Erfassung der Wahlentscheidung ausgerechnet von hiesigen IT-Nahestehenden so abgelehnt wird.

          Wahlautomaten fügen dem Prozess mehr Mitspieler hinzu, zusätzlich den bereits bestehenden (Wahlhelfer, Wahlleiter auf verschiedenen Ebenen, Software zur Verarbeitung der Resultate).

          Du rennst zwar bei Uns mit Deiner formalen Argumentation grundsätzlich offene Türen ein, aber ...

          Dazu kommt noch ein weiterer, gesellschaftlicher Aspekt: Ein Prozess, gegenüber dem man skeptischer ist erzeugt einen Vertrauensverlust, auch in Bezug auf Kontrollierbarkeit und Nachvollziehbarkeit.

          ... Wir teilen die Schlussfolgerungen nicht, halte die Ansichten als Ganze zudem für inkonsistent und lehne gerade auch solche wie im obigen Absatz zitierten Argumente ab. (Obwohl diese nicht aus der Luft gegriffen sind, aber es ist gerade Aufgabe der Politik richtige Entscheidungen durchzusetzen und zumindest nicht auf die antizipierte Akzeptanz durch die Bürger zu schielen.)

          Die Wahl von Repräsentanten, egal wie man den Repräsentanten gegenüber steht, ist einer der wesentlichen Akte einer Repräsentanten-Demokratie und man sollte sich bemühen, diesen so vertrauenswürdig wie möglich zu gestalten. Der Worst Case muss ja nicht mal 99%-Ergebnisse wie unter den Ländern des Neuen Europas zur Zeit der Herrschaft von Einheitsparteien sein. Es reicht schon aus, dass das Vertrauen in den Prozess beschädigt ist; Manipulation ist ja umso geschickter, desto weniger auffällig.

          Irgendwie müsstest Du doch gegen die jetzige IT-Infrastruktur  bei der Wahl sein, oder? Und alles per Hand zählen, zusammenrechnen und so?!

          Ich bin garantiert kein Luddit mit der alleinigen Motivation des Dagegenseins, bessere und vertrauenswürdigere Systeme hätten durchaus meine Sympathie. Ich würde einfach nur gerne mehr Vorteile als Nachteile sehen, ehe ich an einem so Hohen Gut rumfrickel. Denn ansonsten bleibe ich konservativ und bewahre lieber das bestehende, relativ gut funktionierende System.

          Konservativ zu sein ist immer richtig, "frickeln" hier falsch verwendet (im Moment wird gefrickelt, dieses Erfsssungefrickel muss optimiert werden, Wählen per WahlCard oder PersonalIDCard (statt "Personalausweis" oder "Reisepass")) und danke für den Hinweis auf die durchgeknallten Ludditen (die Wir noch nicht kannten).

    2. Moin!

      Inzwischen gibt es einen neuen Ansatz, das Single-SignOn-Problem zu lösen; diesmal nicht zentralisiert mit einer Webseite oder einen Service wie noch Microsofts Passport, sondern dezentralisiert. Es heisst OpenID und wurde ursprünglich von der Weblog-Firma LiveJournal entwickelt, ist aber jetzt ein freies System mit ziemlicher Unterstützung in der Industrie, sogar Microsoft will da was machen.

      Gefällt mir nicht. Aber nicht wegen der Authentifizierung. Sondern wegen der Identifizierung.

      Mit Username und Passwort je Site habe ich es in der Hand, diese unterschiedlich zu gestalten, um nicht gleich allzu direkt identifizierbar zu werden.

      Wenn es aber heißt "Mein Name ist meine URL", und ich bei Amazon, Google, $Werbewirtschafts-Website mich nur noch mit meiner OpenID-URL authentifiziere, dann sind meine unterschiedlichen Useraccounts ganz leicht in Deckung zu bringen. Gleiche URL = Gleiche Person.

      Und sofern ich tatsächlich die Authentifizierung in eigenen Händen behalten will, benötige ich ja irgendwie Webspace unter meiner Kontrolle, und vorzugsweise auch noch eine eigene Domain. Schwups, schon ist der Gegenseite auch noch meine Adresse bekannt - einmal kurz Denic fragen, fertig.

      - Sven Rautenberg

      --
      "Love your nation - respect the others."
      1. Wenn es aber heißt "Mein Name ist meine URL", und ich bei Amazon, Google, $Werbewirtschafts-Website mich nur noch mit meiner OpenID-URL authentifiziere, dann sind meine unterschiedlichen Useraccounts ganz leicht in Deckung zu bringen. Gleiche URL = Gleiche Person.

        Ja, das mit der URI ist merkwürdig. Wie soll das laufen, anmelden an bei "Identitätsprovider", dann Anmelden bei System unter Nennung der URI (und einer "SitzungsID"?), System wendet sich an Identitätsprovider und gut ist?

        Sorry wegen der Frage aber fragen ist für Uns oft effizieter als das langsame Durchkauen englischer Texte.

        1. Hallo Ludger,

          Ja, das mit der URI ist merkwürdig. Wie soll das laufen, anmelden an bei "Identitätsprovider", dann Anmelden bei System unter Nennung der URI (und einer "SitzungsID"?), System wendet sich an Identitätsprovider und gut ist?

          Ziemlich genau so. Wobei die eventuell wiederkehrende Authentifikation beim Identitätsprovider (In den Specs heisst der wirklich so, ja) für den User nach der Nennung der URI/XRI kommt.

          Die URI (oder XRI) dient also für das System („Consumer“ in OpenID-Lingo, es wird also noch merkwürdiger) auch nicht nur als eindeutige Identifikation sondern auch dazu, den Identitätsprovider festzustellen. Der Consumer sendet dann die Authentifizierungsfrage an den Identitätsprovider weiter, der Nutzer authentifiziert sich gegenüber dem Provider und bestätigt, dass er sich bei dem Consumer einloggen will. Der Provider leitet dann das Ja oder das Nein an den Consumer zurück.

          Sorry wegen der Frage aber fragen ist für Uns oft effizieter als das langsame Durchkauen englischer Texte.

          Armer Kerl. Die OpenID-Spezifikationen sind auch m. M. n. unnötig komplex. Vielleicht hilft Dir das weniger komplexe Diagramm.

          Tim

      2. Hallo Sven,

        Wenn es aber heißt "Mein Name ist meine URL", und ich bei Amazon, Google, $Werbewirtschafts-Website mich nur noch mit meiner OpenID-URL authentifiziere, dann sind meine unterschiedlichen Useraccounts ganz leicht in Deckung zu bringen. Gleiche URL = Gleiche Person.

        Wenn man nicht eindeutig identifiziert werden möchte oder sich zumindest mehrere Tarnaccounts erstellt, braucht man natürlich mehrere Identitätsprovider. Klick mal hier drauf. Schon hast Du eine OpenID. [Und noch mal. Eine zweite OpenID. Dieser Service ist gegenüber richtigen OpenID-Providern wie Verisign oder AOL natürlich schwachsinnig: geschieht doch keine Authentifizierung, da es ein anonymer Service ist. Es soll nur verdeutlichen, dass es relativ einfach ist eine OpenID zu bekommen. Und auch relativ einfach zwei unterschiedliche Identitäten für „Sven Rautenberg“ und „Sven unter falscher Flagge“ zu kreieren.

        Aber guck mal: Bei einem Konzept des multiplen Anmeldens (Jetzt-Zustand) verwaltet man unterschiedliche Identitäten (Nutzernamen). Ein Konzept des einmaligen Anmeldens braucht nun mal eine zentrale Identität für die man sich einmalig gegenüber einer zentralen Stelle authentifizieren muss. Insofern ist das schon eingebaut; es wäre schon technisch sehr viel schwieriger das so zu gestalten, dass von Identität kein Rückschluss auf die zentrale Authentifizierung möglich ist.

        Und sofern ich tatsächlich die Authentifizierung in eigenen Händen behalten will, benötige ich ja irgendwie Webspace unter meiner Kontrolle, und vorzugsweise auch noch eine eigene Domain. Schwups, schon ist der Gegenseite auch noch meine Adresse bekannt - einmal kurz Denic fragen, fertig.

        Das nun mal ist das ständige Problem im Netz, Anonymität ist nur schwierig oder kaum zu haben. Man ist hier in einer Zwickmühle: Benutzt man eine URI als OpenID-Identifizierer, kann man darüber identifiziert werden; benutzt man eine XRI, zeigt etwas auf den Identitätsprovider; wenn man selbst dieser ist, kann man darüber identifiziert werden. Oder aber man muss einer dritten Partei vertrauen, ungefähr so wie Anonyme Netze wie Onion/Tor oder Anonyme Remailer auch weitere Beteiligte verlangen. There's no free lunch.

        Die praktischste Möglichkeit, Single-SignOn mit OpenId und partielle Anonymität zu nutzen ist nun mal obige Trennung zwischen verschiedenen Identitäten. Man muss dann immer noch verschiedene Identitäten managen; aber eventuell nicht mehr für jede unterschiedliche Seite eine neue.

        Tim

        1. Moin!

          Wenn es aber heißt "Mein Name ist meine URL", und ich bei Amazon, Google, $Werbewirtschafts-Website mich nur noch mit meiner OpenID-URL authentifiziere, dann sind meine unterschiedlichen Useraccounts ganz leicht in Deckung zu bringen. Gleiche URL = Gleiche Person.

          Wenn man nicht eindeutig identifiziert werden möchte oder sich zumindest mehrere Tarnaccounts erstellt, braucht man natürlich mehrere Identitätsprovider.

          Ich erkenne gerade, was mir an der Sache nicht behagt.

          Und es ist nicht OpenID im speziellen, sondern Single-Sign-On im allgemeinen. Der Witz daran ist ja gerade, nur EINEN Useraccount zu haben und überall zu nutzen.

          Alle diese Vorteile von SSO bzw. OpenID verschwinden, wenn man mehrere Accounts nutzen will (im Idealfall einen pro Login).

          - Sven Rautenberg

          --
          "Love your nation - respect the others."
  6. interessante Website (Kleinanzeigen), ich will rein, bin aber nicht sicher, habe ich mich dort schon angemeldet, wenn ja, unter welchen Namen und welches Passwort.

    Ich löse das Problem auf eine andere Weise: Ich registriere mich ausschließlich dort, wo ich für mich einen echten Wert erkenne. Sich einfach so im Vorbeilaufen anzumelden und dafür eine neue E-Mail-Adresse anzulegen spielt es schon lange nicht mehr. Stoße ich bei der Recherche im Netz auf ein For^WBoard und lese dort Fragen, die ich beantworten könnte: Pech gehabt.

    Registrierungspflicht ist für Angebote, die keine echte Identifikation erfordern der Tod.

    Roland

    --
    -)
    1. Registrierungspflicht ist für Angebote, die keine echte Identifikation erfordern der Tod.

      Zum Beispiel hier: http://community.de.selfhtml.org/foren/lounge/

      (Das hätte ich Euch eigentlich vorher sagen können. Bei der seinerzeitigen "Nicht hilfreich"-Bewertung greift ein ähnliches Sachverständnis.)