01.06.2008
Mitte der Woche veröffentlichte die Ruhr-Uni-Bochum eine Mitteilung, dass einige ihrer Studenten eine Möglichkeit gefunden hätten, das Cardspace-System von Microsoft zu cracken, um die übermittelten Tokens abzufangen. Die Methode erfordert ein Ändern der auf dem Client-System verwendeten DNS-Server und die Installation eines Root-Zertifikates, um den Token-Verkehr auf einen manipulierten Server umzuleiten.
Kim Cameron hat als Antwort auf seinem Blog ein Video veröffentlicht, in dem er die notwendigen Änderungen auf einem Windows Vista-System erklärt. Da der Hack zur Zeit sehr viel Userinteraktion voraussetzt, bezweifle ich auch eine ernste Gefährdung des Cardspace-Systems. Es ist ein Unterschied, ob ein DAU lediglich auf den Link in einer E-Mail klicken muss, um auf eine Phishingseite zu gelangen, auf der er seine Passwörter preisgibt. Oder ob er vorher seine DNS-Einstellungen ändern und zusätzlich ein Root-Zertifikat installieren muss.
11.03.2008
Wie in diesem Artikel schon erwähnt, kann man OpenID auch bei einigen Providern mit Information Card beziehungsweise Cardspace koppeln.
Cardspace ist eine Technologie aus dem Hause Microsoft, die es einem anhand von virtuellen Identitätskarten ermöglicht, sich gegenüber Diensten zu authentifizieren. Information Card ist die Open Source-Alternative, mit der man die Karten auf Systemen wie Linux und Mac OS X nutzen kann.
OpenID-Provider wie myOpenID oder PIP Verisign Labs erzeugen für die einzelnen Identitäten Information Cards. Beim Anmelden an einen Dienst wählt man nur noch die Karte aus, mit der man sich authentifizieren möchte. Der OpenID-Provider identifiziert diese Karte, sendet das Ergebnis an die anfragende Stelle zurück und man ist angemeldet.
Cardspace ist in Windows Vista und Windows XP Service Pack 2 enthalten. Für Mac OS X und diverse Linux-Distributionen gibt es das Higgins-Projekt. DigitalMe basiert auf letzterem und bietet unter Mac OS X einen funktionierenden Identity Selector, sowie ein Plugin für Firefox.
14.02.2008
Je länger ich mich mit dem Thema OpenID beschäftige, desto schneller komme ich wieder zu meinen anfänglichen Zweifeln zurück. Heute: das gesamte Konstrukt ist einfach zu kompliziert.
OpenID-Provider gibt es mittlerweile fast wie Sand am Meer und somit hat man die Qual der Wahl, welchem man seine Identität(en) anvertraut. Viele Provider habe ich mir noch nicht angeschaut. Bei Yahoo habe ich zwar eine OpenID mit meinem Account verbinden können, nur konnte ich mich weder bei meinem Yahoo-Webmail noch bei Flickr (was ja zu Yahoo gehört) mit diesem anmelden. Vielleicht habe ich den Extra-Button zur OpenID-Anmeldung aber einfach schlichtweg übersehen.
Verisign spielt auch in der Liga der OpenID-Provider mit. Mit dem PIP-Dienst ist man zusätzlich in der Lage verschiedene Identitäten anzulegen, um zum Beispiel nicht jedem Dienst die selben Daten zu übermitteln. Jede Identität bekommt eine eigene URL zugewiesen.
Hierbei stellt sich mir dann schon einmal die Frage, ob ein normaler, nicht so technikaffiner Benutzer des Internets sich diesem Krampf aussetzt, URLs wie "https://schnickschnack.pip.verisignlabs.com" auswendig zu lernen, zusätzlich noch seine Accountdaten von Verisign im Kopf hat und nicht dem altbewährten System hinterher weint, in dem er bei jeder Seite den gleichen Usernamen und Passwort hatte (und nur diese angeben musste). Und nicht jeder hat eine Domain zur Hand, um seine Anmeldung über diese an seinen Provider zu delegieren.
Der gemeine User ist faul. Richtig faul. Passwörter werden im browsereigenen Manager gespeichert und stehen beim Aufrufen der Seite sofort zur Verfügung. Ohne eine meist kryptische URL einzutippen und sich daraufhin noch zu authentifizieren. Information Card/InfoCard/Cardspace ist zwar eine Technologie von Microsoft, würde aber auch im Zusammenspiel mit OpenID eine Alternative zu herkömmlichen Authentifizierungsmechanismen bilden. Hierbei muss sich der Anwender keine URLs merken, sondern kann leicht seine Identität am Bildschirm auswählen, die dem Server danach übertragen wird. Hört sich jedenfalls schon einmal einfach und komfortabel an.