Web 2.0 mal praktisch (20) – Tipps für Sicherheitsbewusste

Ich persönlich habe kein Problem mit Usernamen & Passwort als Sicherheitsmechanismen, obschon mich letztens der Chef eines der bedeutendsten Security-Unternehmen in der Schweiz vom Gegenteil überzeugen wollte. Aber: Ich verwende bei jedem Anbieter ein anderes Passwort und das Passwort ist stark, sprich es sieht etwa so aus: Grm01PLFpf$15. Zugegebenermassen ist es für mich ein ziemlicher Aufwand und es braucht ziemlich Disziplin. Auf dem PC hilft mir ein Passwortverwaltungsprogramm namens Keepass und sonst habe ich meine (manuellen) Hilfsmittel.

Man kann es einfacher haben! Im Web sind erste Anstrengungen zu Single Sign-on erkennbar. Ich möchte hier zwei Konzepte zeigen, die “Internet Single Sign-on” aufgreifen:
1.)  Die Föderierte Identität (Engl. Federated Identity)
2.) Open-ID Provider (Identity Portale)

1.) Föderierte Identität: Man erlaubt einer Plattform, z.B Buildabrand.com, sich mit seinem Facebook-Account einzulösen, siehe untenstehendes Bild mit den Login-Beispielen von buildabfrand.com und SAP-Streamwork (jaja, die erlauben ein Login via google-Account Daten):

Hierzu empfehle ich, für sich selbst oder für seine Company eine ganz einfache Richtlinie aufzustellen: a.) Soll man solche Mechanismen nützen – ja/nein  und b.) Man entscheide sich für eine und nur eine “Masteridentität” z.B man loggt sich überall, wo es geht, nur mit seinem Facebook-Account ein.

2.) OpenID-Provider: Soviel ich begriffen habe, gibt es momentan drei mehr oder minder konkurrenzierende Konzepte/Frameworks/Protokolle in Sachen Sicherheit / Authentifikation. Es sind dies OpenID, SAML und OAuth. Der Begriff OpenID ist mir auf meinem Weg zum Geschäftsmann 2.0 am meisten zu Gesicht gekommen. Mit OpenID kann man heute bei Google, Facebook, Microsoft (WinLive), PayPal, und vielen weiteren Plattformen “sicher” einloggen. Damit man das kann, muss man sich bei einem OpenID-Provider registrieren und bekommt nach dem Beglaubigungsprozedere eine eigene OpenID. Führend ist hier ein Schweizer-Anbieter, nämlich http://www.clavid.ch/

Alternativ kann sowas ebenfalls bei grösseren Playern gemacht werden, wie z.B bei Verisign/Symantec. Nur hätte ich Hemmungen dabei, einerseits weil es ein US-Anbieter ist und das “Beta” ist auch nicht vertrauenserweckend…

Die Migration auf OpenID ist mein übernächstes Projekt auf meinem Weg zum Geschäftsmann 2.0, habe ich doch eine SuisseID, welche mir den Zugang zu meiner persönlichen OpenID bedeutend vereinfacht. Doch mein Freund, der Chef des Security-Unternehmens, hat mir gegenüber bereits den Warnfinger gehoben: “Ist Deine OpenID geknackt, dann hat der Knacker überall Zugriff auf alle Deine Identitäten und Logins…”.