Kim Cameron hat als Antwort auf seinem Blog ein Video veröffentlicht, in dem er die notwendigen Änderungen auf einem Windows Vista-System erklärt. Da der Hack zur Zeit sehr viel Userinteraktion voraussetzt, bezweifle ich auch eine ernste Gefährdung des Cardspace-Systems. Es ist ein Unterschied, ob ein DAU lediglich auf den Link in einer E-Mail klicken muss, um auf eine Phishingseite zu gelangen, auf der er seine Passwörter preisgibt. Oder ob er vorher seine DNS-Einstellungen ändern und zusätzlich ein Root-Zertifikat installieren muss.

Ähnliche Artikel:

1. Information Card/Cardspace mit OpenID
2. OpenID ist zu kompliziert?

OpenID-Provider wie myOpenID oder PIP Verisign Labs erzeugen für die einzelnen Identitäten Information Cards. Beim Anmelden an einen Dienst wählt man nur noch die Karte aus, mit der man sich authentifizieren möchte. Der OpenID-Provider identifiziert diese Karte, sendet das Ergebnis an die anfragende Stelle zurück und man ist angemeldet.

Cardspace ist in Windows Vista und Windows XP Service Pack 2 enthalten. Für Mac OS X und diverse Linux-Distributionen gibt es das Higgins-Projekt. DigitalMe basiert auf letzterem und bietet unter Mac OS X einen funktionierenden Identity Selector, sowie ein Plugin für Firefox.

Ähnliche Artikel:

1. OpenID und SSL-Zertifikate
2. OpenID ist zu kompliziert?
3. OpenID, mehr als Single sign on?

OpenID-Provider gibt es mittlerweile fast wie Sand am Meer und somit hat man die Qual der Wahl, welchem man seine Identität(en) anvertraut. Viele Provider habe ich mir noch nicht angeschaut. Bei Yahoo habe ich zwar eine OpenID mit meinem Account verbinden können, nur konnte ich mich weder bei meinem Yahoo-Webmail noch bei Flickr (was ja zu Yahoo gehört) mit diesem anmelden. Vielleicht habe ich den Extra-Button zur OpenID-Anmeldung aber einfach schlichtweg übersehen.

Verisign spielt auch in der Liga der OpenID-Provider mit. Mit dem PIP-Dienst ist man zusätzlich in der Lage verschiedene Identitäten anzulegen, um zum Beispiel nicht jedem Dienst die selben Daten zu übermitteln. Jede Identität bekommt eine eigene URL zugewiesen.

Hierbei stellt sich mir dann schon einmal die Frage, ob ein normaler, nicht so technikaffiner Benutzer des Internets sich diesem Krampf aussetzt, URLs wie "https://schnickschnack.pip.verisignlabs.com" auswendig zu lernen, zusätzlich noch seine Accountdaten von Verisign im Kopf hat und nicht dem altbewährten System hinterher weint, in dem er bei jeder Seite den gleichen Usernamen und Passwort hatte (und nur diese angeben musste). Und nicht jeder hat eine Domain zur Hand, um seine Anmeldung über diese an seinen Provider zu delegieren.

Der gemeine User ist faul. Richtig faul. Passwörter werden im browsereigenen Manager gespeichert und stehen beim Aufrufen der Seite sofort zur Verfügung. Ohne eine meist kryptische URL einzutippen und sich daraufhin noch zu authentifizieren. Information Card/InfoCard/Cardspace ist zwar eine Technologie von Microsoft, würde aber auch im Zusammenspiel mit OpenID eine Alternative zu herkömmlichen Authentifizierungsmechanismen bilden. Hierbei muss sich der Anwender keine URLs merken, sondern kann leicht seine Identität am Bildschirm auswählen, die dem Server danach übertragen wird. Hört sich jedenfalls schon einmal einfach und komfortabel an.

Ähnliche Artikel:

1. MySpace bietet OpenID an – aber nur als Provider
2. OpenID-Wettrennen
3. OpenID, mehr als Single sign on?