ComputerBase Menü
Aktuelles

News Einfacher Login via BrowserID von Mozilla

Steffen

Steffen

Technische Leitung
Administrator
Registriert
März 2001
Beiträge
16.887
Jede Webseite, die einen Login erfordert, erfordert aktuell eine eindeutige Kombination aus Benutzernamen oder E-Mail-Adresse und Passwort. Einen anderen Ansatz verfolgt Mozilla mit „BrowserID“, welche Nutzern einfacheres Einloggen ermöglichen soll. Dabei wird im Wesentlichen das Verified E-Mail-Protokoll genutzt.

Zur News: Einfacher Login via BrowserID von Mozilla
 
Wenn man dann aber mehrere Rechner nutzt (Privatperson) oder von einer Installation nen Image macht und für zig rechner nutzt (OEM, der hunderte Laptops mit einer identischen Version des OS), hat man aber Probleme, oder?
 
ich kann mir vorstellen das sich der browser mit den anderen geräten synchronisiert wie er das jetzt schon mit passwörtern macht. stichwort firefox-sync
 
Nein deine eigentliche ID liegt ja bei dem Identitätsprovider, die musst im browser halt wohl einmalig eingeben.
Du kannst dann also beliebig viele Geräte mit der selben ID nutzen.

Bin aber kein Freund davon quasi mein Masterpasswort bei einem Provider zu hinterlegen.

Zwar besser als wenn FB oder Google meine sämtlichen Accounts im Web kennen und darauf zugreifen könnten aber ich habe lieber einzelne unabhängige anmeldungen die ich dann lokal bei mir speichere.
 
Zuletzt bearbeitet:
das ist doch ein gefundenes fressen für hacker...
 
OpenID, OAuth, Facebook Connect und nun auch noch BrowserID.
Wir brauchen nicht dutzende Single Sign-On Systeme sondern mal ein System, welches überall unterstützt wird! :grr:
 
@lost_byte
nein, denn es speichert nichts lokal, außer den cookies für die einzelnen seiten. stell es dir, wie ein proxy vor: du meldest dich bei browserid an, der meldet dich dafür bei facebook/etc. an, ohne dass du das pw kennen musst. ein pw merken, auf verschiedenen seiten anmelden.

@topic
das ganze ist ne ziemlich dämliche idee. single-sign-on dienste gut und schön, aber die zusammenfassung von passwörtern an eine stelle, ist immer eine unsichere sache. zum einen reicht es dann ein pw zu erbeuten, um auf alle dienste zugreifen zu können, die dort hinter stecken. zum anderen könnte die browserid db angegriffen und ausgelesen werden.
zumindest das erste problem besteht generell auch bei tools wie keepass.
 
Ausgehend vom Gedanken "es gibt keine absolute Sicherheit" ist das Ding ein zweischneidiges Schwert. Das Ganze Passwort-Gefummel wird zwar sicherer, doch mit einem erfolgreichen Hack sind dem Angreifer keine Grenzen gesetzt. Er hat vollen Zugriff auf Kontodaten, eBay-Daten, Facebook-Daten (OK schlechtes Bsp, kann ja jeder kaufen), e-Mail Konten, Foren-Logins...

Abgesehen davon wäre das Ganze nur wirklich annehmbar, wenn es Browser-übergreifend bei jedem gängigen Browser eingeführt werden würde.
 
praktisch für Hacker.
Brauchen nur noch die Datenbank des Identitätsprovider anzapfen um Zugang zu allen Seiten zu erlangen.
Spart enorm viel Zeit.
 
Trotz aller im Text beschriebenen Sicherheitsvorkehrungen halte ich das für viel zu unsicher. Ich bleibe lieber beim klassischen Account-System mit entsprechend sicheren Passwörtern etc.

Ausserdem verwende ich für jeden einzelnen Account mit dem ich mich irgendwo anmelde eine eigene eMail Adresse. Das würde so also gar nicht klappen, ich müsste immer die gleiche eMail Adresse verwenden.

Und letzten Endes habe ich auch kein Vertrauen in Google und Co.
 
Würde es nichts bringen, die einzelnen Passwörter verschlüsselt zu hinterlegen? (bei BrowserID) Selbst wenn deren Server dann gehackt wird, bringt das dann nix
 
Naja da ohnehin fast jeder sein Passwort mehrfach nutzt, wäre das eigentlich nicht so tragisch. Die Realität geht ja schon in die Richtung. Und ob es so viel praktischer ist, sich für dutzende Accounts jeweils eine eigene Mailadresse zu machen sei mal dahingestellt. Am Ende landet vermutlich eh alles im gleichen Postfach, also wenn man darauf Zugriff hat...

Wenn ein Hack des ID-Anbieters stattfindet, dann müsste man nur an der einen Stelle das Passwort zurücksetzen, statt auf zig Seiten. Die Hacks der letzten Monate zeigen, dass viele ihre Passwörter anderswo nämlich nicht ändern. Wenn man von einem Angriff auf den Identitätsprovider selbst ausgeht, dann ist das System eher praktischer. Von sicherer will ich mal nicht reden. Und was der Provider mit den Daten anstellt ist auch unklar. Je mehr Wettbewerber, desto mehr schwarze und graue Schafe. Facebook, Google usw. machen es sicher nicht aus Selbstlosigkeit.

Problematisch wird es eher dann, wenn einzelne Nutzer per Phishing ihr Passwort verlieren, was selten so schnell bemerkt wird vom Betroffenen. Dann hat der Kriminelle erst mal Zugriff auf zumindest alle bereits genutzten Dienste. Aber wie gesagt, das kommt bei der "ein Passwort für alles"-Philosophie der meisten Anwender eh schon zum Tragen.

Im Grunde sind solche zentralen Systeme immer zweischneidig, aber die Bequemlichkeit und Omnipräsenz von Facebook und Google+ wird wohl irgendwann die Verbreitung durchsetzen. Ob da andere System eine Chance haben, wird man sehen.
 
Zuletzt bearbeitet:
Kommt drauf an wie verschlüsselt ;)
Es gibt mittlerweile Tools die es jeden Otto-Normalverbraucher ermöglichen, seinen GPU effizient dafür zu nutzen Hashes zu cracken.
Ein Hacker bräuchte sich dann nur noch einen PC mit einem SLI/CF Verbund aus den aktuell schnellsten SingleGPUs zu bauen und er knackt so einen Hash in ein paar Minuten oder eben Stunden (kommt auf den Hash an)
Und wenn er die Datenbank erst einmal hat, hat er ja im Prinzip so viel Zeit wie er will :D
 
sowas ist glaub ich nix für mich. da logg ich mich lieber manuell neu ein und merke mir meine pws. wenn man die täglich braucht, hat man die eh nach ner woche drinn.
 
eine sau blöde idee die sich hoffentlich nicht durchsetzten wird. das fehlt mir ja noch, dass man damit alle meine foren und bescuhten seiten, etc. unter einem benutzerprofil verfolgen kann. und eine zentrale stelle für einen misbrauchsangriff gibt's dann ja auhc noch.
 
Naja meine Onlinebanking Pin und co würd ich da nicht hinterlegen gar noch die Tans ^^ Oder eben über hbci oder sowas. Aber Passwörter über netz ist nen graus hab sicher 100 Seiten mit passwörter irgendwo und geb dann fast überall das gleiche pw an. Versuche nicht bei unseriösen geschichten mich anzumelden, aber praktisch hat man dann ein Problem wenn nur eine der Firmen bei der man sich anmeldet unseriös ist und dein passwort im klartext speichert kann diese eine Lücke (fast) alle deine Daten ausspähen.

Mit solchen verfahren kann man einer Firma das vertrauen aussprechen oder hoffentlich auch ein paar nicht-gewinn-orientierten Anbietern, und wenn die Firma dieses Vertrauen nicht missbraucht steht man gut da. Auch kann man dann ein cryptischeres sichereres Passwort wählen oder öfter ändern wenn man nur jeweils ein solches Passwort hat.

Von daher finde ich die Grundrichtung dieser Bemühungen richtig. Für einen verschwindend kleinen Teil der nutzer der überall verschiedene Passwörter benutzen und alle nur recht cryptisch oder so, mag das ein verringern der Sicherheit darstellen, für die anderen wohl eher eine verbesserung, außer sie geben dann für ihr einziges Masterpasswort auch ein schwaches Passwort an, dann ist denen aber wirklich nimmer zu helfen ;)

Die Frage ist nur wem man vertraut, bei openid z.B. kann man einen solchen Dienst auf seinen Server installieren, oder man könnte sogar so einen Dienst auf ein Nas zu hause installieren. Damit würde man relativ sicher gehen, Google zugriff auf meine ganzen Online-dienste zu geben wäre ich auch nicht so begeistert, ist so wie es heute ist schon schlimm genug.

BTW: bitte nicht so Hart kritisieren, auch wenn ihr das nicht wollt, es wird wohl auf absehbare Zeit optional sein. Nur wenn es dann 99,9% der Leute benutzen kann es sein, das nach und nach die manuelle Login-funktion von den Webseiten verschwinden, aber solange es noch viele kritikpunkte gibt bei einer umsetzung werden sich wohl immer mehr wehren.
 
Und die Broswer-ID kann man dann gleich noch dazu benutzen um die Werbung anhand des erstellten Profils zu personalisieren?

Nein Danke!
 
Nichts für mich. Ich hab liebend gerne viele verschiedene E-Mails und Passwörter. Alle daheim notiert und weggesperrt, sollte ich da eins mal vergessen. Ist mir lieber als alles über einen "Account" laufen zu lassen.
 
Es könnte aber auch einen Vorteil bedeuten, wenn man es intelligent anwendet:

Zur Zeit ist es einfach so, dass viele User im Netz eine eMailadresse und ein Passwort für alle möglichen Dienste verwenden. Kommt ein Hacker an die Zugangsdaten für Facebook, könnte er so auch schnell Vollzugriff auf das Postfach und andere Dienste (PayPal, ebay usw.) erhalten.

Solange dem User die Möglichkeit gegeben wird, selbst zu entscheiden, ob er sich via BrowserID anmelden möchte oder nicht, sehe ich da kein Problem. Wer schlau ist, erstellt sich eine eMailadresse für die weniger kritischen Inhalte (sofern nicht schon vorhanden) und loggt sich so via BrowserID ein. Für die wichtigen Dinge nutzt man dann eine vollkommen andere eMailadresse ohne BrowserID.

Ich selbst habe mehrere eMailadressen und hätte z.B. kein Problem mich hier auf CB via BrowserID einzuloggen.
 
Was soll das ganze? Man kann doch längst die Logindaten vom Browser speichern. In Opera muss man dann nur Strg+Enter drücken und ist eingeloggt. Wer noch etwas mehr Sicherheit will, kann dann auch noch optional ein Masterpasswort definieren, mit dem man sich dann auf jeder Seite eingeloggt. Was genau soll jetzt diese Sache an Vorteilen bieten, dass ich dafür meine Daten extern auslagern soll? Kann mir das jemand erklären?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Banger
Nach Todesfall: Bigfishgames&Freenet kündigen/Internet auf anderes Abbuchungskonto ändern/Erbschein/Übernahme von Bankkonto, Ebay- & Paypal-Account
2 3 4
Antworten
69
Aufrufe
3.437
Banger
Banger
Steffen
Ankündigung Verdächtige Logins in rund 900 ComputerBase-Accounts, die nun sicherheitsgesperrt sind
5 6 7
Antworten
128
Aufrufe
17.377
karlos3
karlos3
KernelMaker
Glasfaser Eigenes Modem an FTTH-Anschluss via SFP GPON Modul
31 32 33
Antworten
654
Aufrufe
169.430
KernelMaker
KernelMaker
XMG Support
  • Angepinnt
[Sammelthread] XMG NEO (E23) mit RTX 40 und Intel Core HX-Serie
5 6 7
Antworten
122
Aufrufe
31.246
stronzo46
S
Dopamin
  • Artikel
Leserartikel Lesertest Synology DS220+ - Active Backup for Business – Backup physischer PCs & Server
Antworten
3
Aufrufe
12.447
Rickmer
Rickmer
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz