Profile, Passwörter und Datenzäune

Viele Onlinedienste verlangen inzwischen Paswörter mit einer bestimmten Länge oder zeigen die Stärke bei der Eingabe graphisch an. Für eigene Projekte gibt es schon einfache Anleitungen, wie man dies auch umsetzen kann.
Wichtigste Grundregel bleibt aber immer noch, dass man ein Passwort nicht an Dritte gibt. Am Arbeitsplatz wird dagegen verstoßen, weil man den Kollegen Zugang zu lokal gespeicherten Daten verschaffen möchte, in Foren erspart man dem Kumpel die Anmeldung für eine einzige Frage und in Browsergames ist es innerhalb der Allianzen ein strategischer Vorteil.

Wenn man seine Logindaten irgendwo im Internet eintragen soll, ist der in der Regel Phishing, oder ein innovatives Startup hatte eine neue Idee…

Fellowweb träumt von portablen Profilen und hat deshalb einen Spider für Xing, StudiVZ und SchülerVZ geschrieben. Einfach Login und Passwort eingeben und … hoffen, dass beides wirklich sofort gelöscht wird.
Ich möchte hier Fellowweb nichts unterstellen, aber wer sich offensichtlich um die Zukunft der Jugend sorgt, sollte vielleicht auch etwas für die IT-Kompetenz tun. Freizügiges Verteilen von vertraulichen Informationen gehört da sicher nicht dazu.

Dass es auch andere Ansätze gibt, zeigen Facebook und Flickr.
Facebook hat mit F8 eine offene Plattform, andere Dienste können diese nutzen. Wenn Qype oder Photobucket Ihre F8-Apps vorstellen und F8 loben, dann kann man auch mal seinen Login in Facebook eingeben.
Flickr bietet eine offene API an und ich muss den Zugriff für die Applikationen in meinem flickr-Account erlauben.

Alternativ bietet sich ein Single-Sign-On Dienst an. Kerberos hat sich bewährt, aber nicht für Webapplikationen. Microsoft Passport kann als gescheitert betrachtet werden. Vom Nachfolger CardSpace habe ich bisher auch sehr wenig gehört.
Ein freier SSO Dienst ist OpenID. Auch hier lief OpenID mal im Probebetrieb, das Plugin war aber nicht sehr ausgereift. Der Dienst ist bei LiveJournal oder Moveble Type im Einsatz.
Neben der Authentifizierung kann OpenID auch ein paar persönliche Felder übertragen, die dann automatisch ausgefüllt werden. Welche Daten das sind, bestimmt der Anwender auf dem OpenID Server.
Das Konzept ist nicht schlecht, leider gibt es mehr Serverdienste als Dienste, die einen Login erlauben.

Wirlich offen wäre ein Social Network, wenn ich mein Profil als RDF/OWL exportieren kann, die Kontakte per FOAF und die Inhalte mit Microformats gestaltet sind. Nur bei dem Level dann noch ein funktionierendes Sicherheitskonzept umzusetzen ist eine echte Herausforderung.

Genug geträumt, jetzt erst 100x schreiben

Ich soll meine Benutzname und Passwort nie weitergeben. Nie.

  • In Unternehmen das Passwort weitergeben?

    Schlechte Idee… Besser ist es doch, Access-Listen zu führen, wo genau festgehalten ist, wer wo auf was zugreifen darf.

    Was der Nutzer dann als privat markiert bleibt auch privat.

    Ich weiß, das klingt schwer umsetzbar, aber es funktioniert.

  • Theorie und Praxis halt.

  • Bei einer Bekannten von mir mussten wegen dem neuen Netzwerkadministrator die Passwörter von 5 auf 12 Zeichen (Zahlen + Buchstaben) geändert werden. Jetzt hat jeder das neue Password auf einem Zettel unter der Tastatur. Mehr Sicherheit halt 🙂