ID4me

Ein universelles digitales Profil, mit voller Datenkontrolle beim Nutzer – aber wie?

Die Mehrheit der Internet User ist es leid, sich Hunderte von Logins und Passwörtern zu merken. Aus diesem Grund nutzt die Mehrheit wenige Passwörter für alle Online-Portale, Webshops, SaaS Lösungen etc. oder sichert zum Schreck aller Security und IT Experten die Passwörter im Browser. Security und IT Experten können sich aber zurücklehnen, da eine Gruppe von Internet Experten mit ID4me einen globalen offenen Standard geschaffen hat.

Nur ein kleiner Teil der Nutzer ändert ihr Passwort regelmäßig und entscheidet sich für sichere, individuelle und komplexe Passwörter. In der Mehrheit der Fälle entscheiden sich Anwender für eine bequeme Variante, die in der Regel heißt „es ist leicht zu merken“. Leicht zu merken konkurriert in den meisten Fällen mit sicher. Manche Systeme, insbesondere im Arbeitsalltag, zwingen die Anwender, das Passwort regelmäßig zu wechseln und stellen zusätzlich Sicherheitsanforderungen an die Wahl des Passworts. Das wiederum führt meist zu Unmut bei Anwendern oder Mitarbeitern.

Bereits in 2007 veröffentlichte Microsoft Research eine vielzitierte Studie, die bereits damals besagte, dass User im Schnitt 6,5 Passwörter nutzen, die jeweils auf 3,9 verschiedenen Webseiten Anwendung finden. Bereits vor 11 Jahren hatten User im Schnitt 25 Online Accounts, die einen Login voraussetzen und haben täglich im Schnitt acht Mal ein Passwort auf einem ihrer Accounts eingetippt. (1)

Heute wird in den USA alleine eine Email durchschnittlich für 130 (!) verschiedene Zugänge genutzt, so eine aktuelle Studie (2018) von DigitalGuardian. (2)

Dashlane prognostiziert die durchschnittliche Zahl von Accounts mit Login pro User auf 207 bis ins Jahr 2020. (3)

Wie kann also sichergestellt werden, dass den weltweit über 4,1 Milliarden Internet Nutzern, die zwischen 100 und 200 Logins im Einsatz haben, ein sicherer, aber auch bequemer Login-Prozess über alle Portale geboten wird? Die Anforderungen an Passwörter könnten jedoch unterschiedlicher nicht sein. Es gibt sogar schon einen Namen für dieses Problem: Password Overload.

Schnell, bequem und trotzdem sicher, wie ist das möglich?

Single Sign-On – die bequeme Alternative

Ein Login, ein Passwort für alles. Die Single Sign-On Technologie bietet einen bequemen schnellen Login für User.

Insbesondere die Single Sign-Ons (SSO) der Social Media Anbieter sind inzwischen weit verbreitet und ersparen Usern auf diesem Wege den lästigen Registrierungsprozess bzw. einen weiteren Login, den sie sich merken müssen. Aber im Hinblick auf Daten-Sicherheit und den Umgang mit User-Daten schneiden die Webgiganten nicht unbedingt mit Bestnote ab.

Der Loginprozess muss userfreundlich sein. Darüber sind wir uns sicher einig. Aber darüber hinaus gewinnt Sicherheit und der Schutz der Daten auch jenseits der europäischen Grenzen immer mehr an Bedeutung. Offene Systeme, die die Privatsphäre des Users respektieren sind die Zukunft.

Identity-Management über ID4meDie Lösung: Identity-Management über ID4me

ID4me ist ein offenes, auf Standards (OpenID Conncet / OAuth 2.0 und DNSSEC) basierendes Framework für digitales Identitätsmanagement. Alle neuen Versionen und die entsprechenden Spezifikationen sind offen und kostenfrei. Dadurch werden Markteintrittsbarrieren vermieden. Eine Vielzahl der gängigen Single Sign-Ons basieren heute auf OpenID. Das macht es für Unternehmen und Organisationen einfach, ID4me zu nutzen.

Was unterscheidet ID4me von anderen Single Sign-Ons?

In erster Linie sicher die Philosophie. Bei ID4me handelt es sich um eine föderierte Non-Profit-Organisation. Kein einzelnes Unternehmen, auch nicht einige wenige Unternehmen, sondern eine Initiative, die eine offene Technologie für Identitätsmanagement entwickelt hat. ID4me bietet einen neuen Standard, der allen Interessierten zur Verfügung steht. Der Code von ID4me ist für jeden zugänglich. Dokumentation und Sandbox befinden sich auf der Website von ID4me.

Einzigartig sind die freie Wahl des Anbieters und die Trennung von Authentifizierung und Datenmanagement des ID4me Nutzers

ID4me sieht eine Trennung von Authentifizierung, wenn man so will dem Passwortcheck, und dem Datenmanagement des Users vor. Im OpenID Connect Standard, auf dem ID4me wie viele andere Single Sign-Ons basieren, ist diese Trennung zwischen Authentifizierung und Nutzerdaten zwar vorgesehen, wird bisher aber einzig von ID4me genutzt.

Um diese sicherheitsrelevante Gewaltenteilung zu gewährleisten, sind im ID4me Standard zwei Rollen vorgesehen: der Identity Agent und die Identity Authority. Die Identity Authority ist für die Authentifizierung verantwortlich. Die Daten jedoch werden beim sogenannten Identity Agent verwaltet.

Die Identity Authority nutzt einen Domain-Namen wie z. B. id4me.org als Identifier bzw. Credential. Die Identifizierung findet über das DNS (DNSSEC) statt. DNS steht für Domain Name System. Es handelt sich um einen globalen Standard, der den Namensraum des Internets verwaltet und weltweit bewiesen hat, dass er skaliert. Das DNS ermöglicht das transparente Auffinden des Identity Agents, der die Nutzerdaten verwaltet, durch einen speziellen DNS Eintrag. Diese Funktionalität wird „Discovery Funktion“ genannt. Dadurch ist einsehbar, wer für die Verwaltung der ID4me User-Daten verantwortlich ist.

Diese transparente Auffindbarkeit wiederum ermöglicht die Portabilität der digitalen ID4me-Identität. Dadurch hat jeder User die freie Wahl des Identity Agents und kann diesen auch jederzeit wechseln. Das ist einzigartig. SocialMedia Logins bieten beispielsweise keine Discovery Funktionalität. Wenn ein User Facebook nicht mehr nutzen möchte, ist es ihm nicht möglich, seinen Facebook Login zu einem anderen Anbieter umzuziehen.

Der Nutzer kann seinen Identitätsprovider („Identity Agent“), beispielsweise ein Registrar, eine TelKo oder ein Portal seines Vertrauens, frei wählen.

Wer unterstützt ID4me bereits?

Die Gründungsmitglieder von ID4me sind die 1&1 Internet AG, DENIC und OpenXchange. Inzwischen hat sich die Zahl der Mitglieder und Unterstützer um einige weitere Registries, Registrare, Technologieanbieter und Verbände, die sich für ein offenes Internet engagieren, erweitert. Eines der jüngsten Mitglieder ist Univention: Herzlich Willkommen bei ID4me.

Alle, die die Initiative unterstützen, sind herzlich eingeladen, sich in den bestehenden Arbeitsgruppen Adoption, Governance und Technologie einzubringen: http://id4me.org/engage

Interessenten sind zum ersten ID4me Summit am 14. August in Frankfurt eingeladen. Eine Anmeldung ist bis 10. August möglich unter info@nullid4me.org

Wer Fragen zu ID4me hat, kann sich gerne jederzeit an Katja Speck wenden: katja@nullid4me.org

Quellenangaben:
(1) https://www.microsoft.com/en-us/research/publication/a-large-scale-study-of-web-password-habits-2/
(2) https://digitalguardian.com/blog/uncovering-password-habits-are-users-password-security-habits-improving-infographic
(3) https://blog.dashlane.com/infographic-online-overload-its-worse-than-you-thought/

Katja Speck

Katja Speck, General Manager ID4me. Ihr Fokus liegt in der Etablierung und Verbreitung des ID4me Standards und den organisatorischen Themen im Aufbau der Non-Profit Organisation. Die diplomierte Betriebswirtin hat seit mehr als zehn Jahren verantwortungsvolle Positionen in der Online Industrie inne.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.