Online ID Cards: Sollen mehr Sicherheit bringen

[gullinews]

Ein Zusammenschluss von Softwarefirmen und Onlinebezahlsystemen arbeitet momentan an einer neuen und angeblich bahnbrechenden Technologie. Damit soll die Benutzung von Passwörtern zur Bestätigung der eigenen Identität nicht mehr länger nötig sein. Gelöst werden soll dies mithilfe der sogenannten ID-Card. In Anbetracht der vielen Schwachstellen von unsicheren Passwörtern sei dies ein zwingend notwendiger Schritt, so die Entwickler.

Die Problematik bezüglich der Benutzung von Passwörtern ist bekannt. Für jede Anmeldung bei einem Internetdienst sind diese erforderlich. Viele benutzen immer das gleiche Passwort, konnte dieses an einer Stelle ergattert werden, wird jeder Hacker versuchen, es auch bei anderen Diensten anzuwenden. Zum Schutz der eigenen Daten und des eigenen Geldes ist es ratsam, niemals dasselbe Passwort mehrfach zu verwenden. Zudem wird zu einer möglichst ausgefallene Kombination von Buchstaben und Zahlen geraten, die sich aber niemand merken kann. Viele Anwender sind für solch sichere Passwörter schlichtweg zu faul.

weiterlesen

[Jormungandr]

So ein bullshit...
mfg

[musicjunkie]

nur ein weiters sicherheitsproblem! ich ahne böses...

[kami1]

So etwas gibt es in zum Beispiel Siemens seit Jahren, von bahnbrechend kann also keine Rede sein.
Die Karte rechnet sich jede Minute ein neues Passwort aus, welches man dann eingeben muss um Zugang zu erhalten.

mfg kami

[Backmischung]

So etwas gibt es in zum Beispiel Siemens seit Jahren, von bahnbrechend kann also keine Rede sein.
Die Karte rechnet sich jede Minute ein neues Passwort aus, welches man dann eingeben muss um Zugang zu erhalten.

mfg kami

Was hat das eine mit dem anderen zu tun? SecudeID-Cards kann man hiermit nicht vergleichen.

[-ZiGGY-]

so ne karte kann man vervielfältigen, von wegen sicher
das teil denkt sich jede minute ein neues passwort aus, soll das nun praktischer sein als sein eigenes PW einzugeben?
sicher ist nur, den stecker zu ziehen!

[adlerweb]

ist doch praktisch - muss man nur noch einen Key knacken...

[Kinqpin]

Na toll, wahrscheinlich wird es dann auch noch den Usern aufgezwungen, die nicht zu dumm sind, anständige Passwörter zu benutzen.

[codingforlive]

ist doch praktisch - muss man nur noch einen Key knacken...

Oder nur noch eine Karte klauen, dann hat man Zugriff auf Emails, Onlinebanking, Paypal, Ebay und vieles mehr. Find ich praktisch
Und wenn man dann noch diese Karten benutzen müsste um sich an irgendeinem Dienst anzumelden, dann adee anonymität. Ist ja so, wie Pass vorzeigen.

[Crisp08]

toll und dann bekommen nich mehr die hacker das geld die hart dafür arbeiten sonder die kleinen taschendiebe xD xD

[ironbl4de]

einmal sone id card gefunden oder eine gehacked hat man ein paar millionen in der hand. huarraaa

[Destiny666]

Wozu gibt es Merkzettelchen? Da kann man die PW raufschreiben.

[Noop]

Hoffentlich setzt sich sowas nicht ganz durch - es wäre das AUS für die Anonymität vieler deutschen Email- und Webspace-Accounts, wenn sie nur noch ID-Card nutzen würden und man nicht mehr irgendein Kram in die Accounterstellungemaske eingeben kann

[JoanaDu]

ok es sieht so aus als ob ihr euch alle nicht ausreichend mit dem Thema Information Cards beschäftigt habt. So neu ist es nicht, da man sich bereits schon auf verschiedenen Seiten wie z.B. auf Windows Live mit einer InformationCard (hier Windows Cardspace) anmelden kann. Das ganze ist auch nicht trivial, im Hintergrund befinden sich inzwischen sehr ausgereifte offene Standards wie die Security Assertion Markup Language (SAML). Das stehlen einer Information Card ist meines wissens nur bei direkten Zugriff auf den PC möglich, und dort können diese noch über ein Passwort gesichert werden. Ein Phishing ist nich möglich dazu guckt man sich vielleicht das wieder in Bezug auf OpenID mit InformationCards an: http://www.identityblog.com/wp-conte...enIDPhish.html

Weiterhin kann der Benutzer entscheiden welche persönlichen Informationen der Seite mitgeteilt werden sollen, so kann er auch eigene InformationCards wie eine Anonyme InformationCard erstellen. (@Noop also keine Sorge!)

@Destiny666: Merkzettel??? Ja genau dieses Problem soll vermieden werden: Benutzer besitzen zu viele Anmeldedaten, so dass sie sich schon Merkzettel an den Desktop kleben. Weitehin verwenden sie dann oft das selbe Passwort für viele Anwendungen/Dienste. Durch InformationCards lässt sich das vermeiden und es ist nur noch ein Passwort nötig welches aber zu keiner Webseite gesendet wird und dadurch auch kein Phishing möglich ist.

@ironbl4de: Die Card wirst du nicht bei google finden. D.h. du musst schon das System mit der InformationCard kontrollieren, und wenn du es unter Kontrolle hast kannst du auch per Keylogger jedes Passwort rausfinden.

Ok reicht jetzt erstmal es ist wirklich ein riesen Thema am besten schaut ihr euch das ganze mal genauer an: http://en.wikipedia.org/wiki/Information_Card

Und noch @-ZiGGY-: nein es ist nicht mit einem Hardware-Token welches oft für vpn Zugänge benutzt wird vergleichbar.

und was sagt ihr?

[JoanaDu]

wer interesse an einem OpenID Account hat und gleichzeitig auch Windows Cardspace nutzen will kann sich z.B. hier einen Account erstellen: http://www.signon.com

[titus_shg]

Und wenn man dann noch diese Karten benutzen müsste um sich an irgendeinem Dienst anzumelden, dann adee anonymität. Ist ja so, wie Pass vorzeigen.

Die Gefahr sehe ich auch.

Und auch die, daß man irgendwann dann zwingend eine solche Karte braucht, um überhaupt noch etwas im Netz nutzen zu können. Das erkennt man schon daran, daß die ganzen "Grossen" da gemeinschaftlich dran herumwursteln.

Natürlich werden, wenn es erst mal sowas gibt, auch staatliche Ämter und Behörden zusehen, daß sie sich ihre Vorteile daraus ziehen, was die Aktivitäten des Einzelnen im Netz betrifft. Das stinkt mir doch alles arg nach (zentraler) Kontrolle.

Wenn die Karte in falsche Hände gerät, kann sowas auch sehr unangenehm werden.

"Verkauft" wird das natürlich wieder einmal mehr mit der "guten" Absicht, die ach so faulen und dummen User vor allem "Bösen" zu beschützen.

Viele Anwender sind für solch sichere Passwörter schlichtweg zu faul. Diese Tipps sind seit Jahren weitläufig bekannt, befolgt werden sie jedoch nur selten. Und darin sieht das Team der Information-Cards das zentrale Problem. Ihnen ist es gelungen eine Technologie zu entwickeln, die die Identität des Anwenders ohne Eingabe von User-Details bestätigen kann.

Wenn ich mich im Netz in Foren, Chats, Communities und Boards bewege, möchte ich immer noch frei entscheiden können, unter welcher Identität ich mich mit welchen Daten wo registriere. Und welche PW ich wo nutze.
Daß es Dienste gibt, wo man sich natürlich mit den echten Daten anmeldet, ist ja eh klar und liegt, bei Ebay bspw. in der Natur der Sache. Aber sonst?

Sicher, als freiwillige Option ist das sicher für manche Dinge nicht ganz uninteressant, aber keinesfalls als Pflichtprogramm.

Wozu gibt es Merkzettelchen? Da kann man die PW raufschreiben.

Zettel kann man doch verlieren.

Ich hab mein PW (natürlich eins für alle Zwecke ) mit nem Edding auf den Monitor-Rand geschrieben....

MfG Andy

[lancore89]

Und was wenn meine Festplatte den Geist aufgibt und diese ID-Card gelöscht wird?

[JoanaDu]

Und was wenn meine Festplatte den Geist aufgibt und diese ID-Card gelöscht wird?

Dann musst du dir wohl oder übel eine neue Card erstellen. Dazu hast du je nach Applikation einen Benutzernamen und ein Passwort zur authentifizierung. Ja du hast immer noch ein Passwort aber musst es durch das nutzen einer InfoCard nicht mehr preisgeben. Wie oft musst du dich Täglich mit deinem Passwort anmelden? Und wie kannst du die Loginseiten als sicher einstufen?

Das stinkt mir doch alles arg nach (zentraler) Kontrolle.

Ja zentrale Kontrolle des Benutzers was zum Beispiel bei ms passport nicht der Fall war.

Wenn die Karte in falsche Hände gerät, kann sowas auch sehr unangenehm werden.

Richtig, was bei einem Passwort nicht der Fall wär?

Wenn ich mich im Netz in Foren, Chats, Communities und Boards bewege, möchte ich immer noch frei entscheiden können, unter welcher Identität ich mich mit welchen Daten wo registriere. Und welche PW ich wo nutze.
Daß es Dienste gibt, wo man sich natürlich mit den echten Daten anmeldet, ist ja eh klar und liegt, bei Ebay bspw. in der Natur der Sache. Aber sonst?

Wie kommst du dadrauf das es mit InformationCards nicht so ist? Wie ich schon gesagt habe kannst du selber entscheiden WELCHE InfoCards und somit auch welche Identitätsinformationen du der Seite übergibst. So kannst du ebay deine InfoCard mit deinem Namen und deiner Emailadresse schicken und in einem Forum z.B. eine InfoCard die nur deinen NickNamen enthält.

[lancore89]

Dann musst du dir wohl oder übel eine neue Card erstellen. Dazu hast du je nach Applikation einen Benutzernamen und ein Passwort zur authentifizierung. Ja du hast immer noch ein Passwort aber musst es durch das nutzen einer InfoCard nicht mehr preisgeben. Wie oft musst du dich Täglich mit deinem Passwort anmelden? Und wie kannst du die Loginseiten als sicher einstufen?

Womit dann jedoch die ganzen Sicherheitsrisiken aufgrund von schlechten Passwörter immer noch gegeben sind. Ich seh da keine Verbesserung wenn man mit einem Passwort eine neue Card erstellen kann.

Richtig, was bei einem Passwort nicht der Fall wär?

Nun, ein Passwort sollte sich ausschließlich in meinem Kopf befinden, die Card ist irgendwo auf dem PC gespeichert...
Ich denke von daher wärs einfacher die zu klaun als das Passwort

[JoanaDu]

hehe ja die verbesserung liegt darin das du dein Passwort nicht mehr rausgibst und es dir dadurch auch nicht geklaut werden kann. außerdem muss es auch nicht über ein passwort gelöst werden. du musst dich vor dem erstellen einer InfoCard natürlich eindeutig authentisieren.