5. Oktober 2011 - Zugangskontrolle

Mozilla BrowserID: Der Webbrowser als Identitätshüter

Die Mozilla BrowserID soll die verschiedenen Passwörter bei Online-Diensten überflüssig machen. E-Mail-Adresse und ein im Browser gespeicherter privater Schlüssel sollen reichen. Diese Erleichterung in der Zugangskontrolle setzt jedoch eine genaue Datenschutzprüfung voraus.

der-webbrowser-als-identitatshuter.jpeg
Das lästige Merken von Passwörtern könnte nun dank der Mozilla BrowserID ein Ende haben (Bild: Thinkstock)

Altes Passwort-Problem, neue Lösung

Für verschiedene Online-Dienste soll man bekanntlich auch unterschiedliche Passwörter verwenden. Sind diese Passwörter dann wie ebenfalls gefordert tatsächlich komplex, gerät unsere menschliche Merkfähigkeit schnell an ihre Grenzen. In der Praxis werden deshalb entweder zu einfache Passwörter genutzt oder aber immer das gleiche, im Extremfall sogar immer das gleiche, einfache Passwort.

Die Alternative: Single-Sign-on

Doch es geht auch anders: mit Single-Sign-on (SSO). Bei SSO reichen eine sichere Identität und eine Anmeldung für mehrere Online-Dienste. Für diese Vereinheitlichung der Zugangsdaten gibt es nun eine neue Lösung von Mozilla, besonders bekannt für den Firefox-Browser.

Mozilla BrowserID: Kein neues OpenID

Das neue SSO-Verfahren heißt BrowserID und weckt vielleicht auch bei Ihnen die Erinnerung an das OpenID-Verfahren. Doch tatsächlich verfolgt Mozilla BrowserID einen anderen Ansatz. Wie man es bei Mozilla fast erwarten könnte, kommt dem Browser eine besondere Rolle zu:

  • Anstatt sich bei jedem neuen Online-Dienst mit neuem Benutzernamen und neuem Passwort anzumelden, reicht bei BrowserID eine bestätigte E-Mail-Adresse und ein einziges Passwort.
  • Die Bestätigung der E-Mail-Adresse erfolgt über eine E-Mail mit Bestätigungslink, der einmalig aktiviert werden muss.
  • Damit die Identität des Nutzers geprüft werden kann, wird zu der E-Mail-Adresse ein Schlüsselpaar (öffentlich/privat) erzeugt.
  • Der private Schlüssel wird im Browser des Nutzers hinterlegt.
  • Loggt sich der Nutzer mit seiner E-Mail-Adresse bei einem an BrowserID teilnehmenden Dienst an, wird die E-Mail-Adresse mit dem privaten Schlüssel aus dem Browser signiert.
  • Mithilfe des öffentlichen Schlüssels wird die Signatur der E-Mail-Adresse geprüft. Bei erfolgreicher Prüfung wird die E-Mail-Adresse als Login akzeptiert.

Vorteil für den Datenschutz: keine Identitätsprüfung durch Dritte

Aus Sicht des Datenschutzes besonders wichtig ist die Tatsache, dass bei BrowserID die Identitätskontrolle beim Anmeldevorgang nicht über einen Dritten (z.B. einem ID-Provider wie bei OpenID) erfolgt, sondern über den Browser möglich wird.

Die Gefahr, dass ein Dritter jeden Anmeldevorgang und damit jeden Webseitenbesuch mit Login nachverfolgen könnte, ist erst einmal nicht gegeben.

Voraussetzung: kein Online-Tracking

Voraussetzung ist jedoch, dass mit der Schlüsselpaar-Vergabe bei BrowserID, aber auch in Verbindung mit der Installation eines BrowserID-Plugins (Browsererweiterung für Logins über BrowserID) kein Tracking-Code ins Spiel kommt.

Hätte zum Beispiel das Plugin eine eindeutige Installationsnummer, könnte sie für ein Online-Tracking missbraucht werden. Laut Mozilla gibt es jedoch kein Tracking und keine Weitergabe von Daten an Dritte.

Weitere Entwicklung ist entscheidend

Bevor jedoch ein Konzept wie BrowserID für Online-Dienste (und ggf. Ihre eigenen webbasierten Dienste, die einer Anmeldung bedürfen) eingesetzt werden sollte, bedarf es einer genauen Datenschutzprüfung. Dabei sollten Sie unter anderem hinterfragen:

  • wer eigentlich das BrowserID-Verfahren als Anmeldesystem akzeptiert (im Moment gibt es nur einen Demobetrieb)
  • wer das Schlüsselpaar erzeugt (bislang nur Mozilla)
  • wie sicher die Generierung ist
  • wie verhindert wird, dass ein unseriöser Anbieter ID-Provider wird (und ggf. heimlich Tracking einsetzt)
  • wie sich der private Schlüssel innerhalb des Browsers auf Dauer schützen lässt. Insbesondere wird es hier auf die Passwortstärke (oder die Wahl anderer Authentifizierungsmerkmale wie Chip-Karten) ankommen, die von dem Nutzer verlangt werden. Mozilla betont, dass dies allein in die Verantwortung des jeweiligen ID-Providers fällt.

Download:


Mozilla BrowserID ist somit ein interessanter Ansatz in der Zugangskontrolle, der den Browser zum Identitätshüter macht und die Abhängigkeit von Dritten verringert. Trotzdem müssen hohe Anforderungen an einen Online-Identity-Provider gestellt werden.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln