News Einfacher Login via BrowserID von Mozilla

[Andy4]

Ich verstehe gar nicht, wieso man auf die Idee kommt, sein Passwort irgendwo zentrall auf dem Rechner abzulegen. Das ist einfach nur Dumm. Und jetzt kommt mir bitte nicht mit dem Argument, dass diese ganze Sache sicher sei und man abertausende Passwörter hat. Dieses Jahr hat einiges gezeigt. Sicher sieht für mich anders aus.

Wenn dann macht man sich eine Liste druck diese aus und legt sie in einen Safe, wo keiner zugang zu hat. Mehr sag ich dazu jetzt nicht mehr.

Gruß Andy

 

[ice-breaker]

Es wird aber kein Passwort auf einem anderen Server abgelegt ...

 

[Wilhelm14]

Verstehe ich das richtig? Ich sage Firefox, wer ich bin und wenn mit Firefox Computerbase angesurft wird, sagt der Identitätsprovider, dass ich Wilhelm14 bin? Ist mein Firefox damit nicht zum riesigen Schlüsselbund geworden? Kann so nicht jeder mit Firefox unter meiner Identität surfen? Das ist doch, als ob ich beim Auto den Schlüssel stecken lasse.

 

[ice-breaker]

In etwa ja, aber du wirst dich dann eben noch gegenüber deinem Browser identifizieren müssen.
Um deine Analogie fortzuführen, hast du einen Autoschlüssel mit einem Passwort.

 

[dPay]

Eigentlich ist die Bezeichnung Identitätsserver vollkommen falsch. Da dieser nur die öffentlichen Schlüssel bereithält, kann er für die Identität gar nicht garantieren.

Das sicherste wäre imho ein Elgamal PK und jeder würde sich seinen 1024 oder 2048 Bit Schlüssel im Kopf merken.

 

[Ölpest]

Hallo

"Zeit" nehmen zum Tippen, Relikte aus vergeangener Zeit rauskramen (besorgen?) und der Vergesslichkeit mit Zettel und Stift entgegenwirken. Weitere "Maßnahmen" ratsam..

mfg

 

[Hardware_Hoshi]

Immer wenn ich die Worte "einfach" und "sicher" in Bezug auf "ID" höre, wird mir schlecht. Nicht erst seit Google Chrome ist dies eine tödliche Kombination. Yahoo, Google, Facebook (sogar Paypal) haben dies schon versucht. Jetzt haben wir dutzende Systeme und müssen sie immer noch alle eingeben.

Es ist absolut tödlich für die Sicherheit, wenn Passwörter und Zugänge alle zentral an einem Ort gelagert werden. Das ist genau so als ob man seine (Bank-)Daten auf die Fensterbank legt und meint "sie wären ja sicher".

Als ich den Text überflogen hatte, dachte ich zuerst Mozilla wollte eine Art Kopie von PGP einführen. Je mehr man sich dann aber einliest, desto mehr Einwände kommen auf.

Zum einen sollte ein Browser niemals eine ID besitzen, da der User sonst nicht mehr anonym im Web surfen kann. Dies ist natürlich der göttliche Zustand für Werbeparasiten und z.B Spionen der Medienindustrien (hängt die Raubkopierer-Kampagne).
--> Kommentar: "Es war deine ID, also wirst du gemäß 3-Strikes vom Internet gekappt."

Man könnte hier locker 2-3 Schritte weiter denken:
-Mehr Werbung, da Browser zuordbar ist mit ID (persönliche Einblendung)
-Sicherheit nur bei einem Anbieter (Mozilla?) = höheres Risiko, siehe Hackerangriffe
-Phishing und geiselnahmen per Trojaner sind in diesem System wohl offensichtlich nicht inbegriffen - daran sollte sich jeder stören

Sollte Mozilla ebenfalls mit Hirngespinnsten wie ID-Kram ähnlich wie Google Chrome damals anfangen, wird Firefox ewig in meine persönlichen Abgründe verschwinden.
All zuviel Vertrauensvorschuss hat die Mozilla Corp. seit dem Updatewahn eh nicht mehr. Das Vertrauen wackelt, denn der Sockel ist marode.

Was meint ihr dazu?

 

[Steffen]

Hardware_Hoshi, es geht nicht um eine eindeutige Idenfikationsnummer für den Browser. Die Bezeichnung "BrowserID" mag mehrdeutig sein, aber lies die News bitte nochmal. Dann wird klar, dass BrowserID nichts mit dem von dir ausgemalten Schreckensszenario zu tun hat.

 

[shane01]

Ich halte davon gar nichts. Man hört ja inzwischen fast täglich von Hackangriffen. Selbst das Pentagon ist nicht davon befreit. Und das die mehr Sicherheitsmechanismen haben als irgendwelche Accounts im Inet dürfte klar sein. Immer wenn es heisst sicher, einfach, komfortabel schrillen bei mir die Alarmglocken.

Momentan mache ich es so:

Alle Passwörter, Benutzernamen, Keys usw. sind bei Keepass mit einem richtig guten Passwort, aber nur als Tresor. Zusätzlich noch ein Backup in einem TC Container + 1:1 Kopie von Keepass auf einem USB Stick+ klassischem Zettel. Manche Accounts wie hier bei computerbase sind aber im Browser gespeichert. Sollte der Account gehackt werden kann ich damit leben. Ist ja relativ unwichtig (für mich). Anders sieht es bei Online Banking und anderen sensiblen Bereichen wie ebay, Moneybookers aus. Ich hab in der Taskleiste ein txt File mit den Logindaten und füge sie per copy & paste in das Anmeldeformular ein.

Auch nicht das Allersicherste, aber mir wurde noch nie irgendein Account gehackt. Das einzige, was ich mir vorstellen könnte wäre dropbox entsprechend verschlüsselt. Aber im Moment seh ich keine Veranlassung irgend etwas zu ändern.

 

[Hardware_Hoshi]

Hardware_Hoshi, es geht nicht um eine eindeutige Idenfikationsnummer für den Browser. Die Bezeichnung "BrowserID" mag mehrdeutig sein, aber lies die News bitte nochmal. Dann wird klar, dass BrowserID nichts mit dem von dir ausgemalten Schreckensszenario zu tun hat.

Da wäre ich mir aber nicht so sicher. Eine ID ist eine Identifikationsnummer! Sie stellt immer einen Bezug her. Deshalb kann man ja auch z.B. immer schreiben: "Nehmen Sie an unserem anonymen Service X teil.... von Ihnen werden keine personenbezogenen Daten erfasst!"

---> Lustig an der Geschichte ist aber immer, dass dabei i.d.R. mehrere IDs generiert werden, die man zusammenfassen kann und folglich eine Auswertung trotz Anonymisierung möglich ist. Das geht soweit, dass fehlenden Daten das Anonyme quasi ausgehebelt wird und man nahezu vollen Datenumfang über die Person erhalten kann.

Natürlich gebe ich zu, nicht zu wissen wie Mozilla dies technisch umsetzt. Meine Ausführungen sind wie beschreiben sehr weit in die Zukunft gedacht. Es jedoch prinzipiell auszuschließen würde ich dennoch nicht.

Gerade im Hinblick auf momentane (absichtlich irreführende) Diskussion über die "Sicherheit im Internet" bin ich lieber paranoid als leichtgläubig.

"Ist der Teufel erst einmal hereingebeten, wird man ihn so schnell nicht wieder los!"
Für die faulen DAUs, die sowiso von nichts eine Ahnung haben (nicht böse gemeint) wird sich das evtl. durchsetzen.

____________________________________
Edit:
-nach mehrmaligem Durchlesen

1.) Identitätsprovider --> hat Public Key
--> fordert privaten Key des Browsers
#große Unbekannte --> wie vertrauenswürdig/sicher ist dieser? Rating wie bei Shops?

2.) Browser --> hat privaten Key
--> Aushandlung über Browser
#möglicher Angriffspunkt durch Sicherheitslücken, Phishing, Trojaner?

3. Abgleich über "Identity Assertion"
-bestehend aus

• E-Mail-Adresse
• Domain der Website
• Zeitstempel

# mehr Details benötigt, da zu vage
#Emailadressen und Domainnamen findet man ratzfatz(!)

Das ganze BrowserID zu nennen ist durchaus fraglich bzw. irreführend. Daher mein Post - vorallem da der Betriff vorbelastet ist.

 

[Steffen]

Nein. der Identitätsprprovider wird nie den Private-Key anfordern, das wäre ja eine riesen Sicherheitslücke und im Gegensatz zu der Aussage in der News könnte der Identitätsprovider dann im Namen des Benutzers agieren. Wie es tatsächlich ist steht im News-Update.

Deine Verschwörungshtheorie, die sich einzig und allein an dem Namen "BrowserID" aufhängt, ist einfach sowas von lächerlich unfundiert. Sorry, aber selbst nachdem ich dich darauf hingewiesen habe nicht auf den Trichter zu kommen zeugt schon von Ignoranz!

 

[kallii]

Gerade in den Zeiten, zu denen die ganzen "großen" Unternehmen und Netzwerke gehackt werden sehe ich von sowas ab, auch wenn es sehr praktikabel zu sein scheint. Ich gebe meine Daten ungern auch noch direkt in Passwortform in die Hände anderer. Auch wenn es heißt, dass alles im Firefox gespeichert bleibt, *verunsicherung*. Ich hätte da trotzdem Angst. Viele Unternehmen schreien groß rum, ihre Daten sind sicher und was kommt bei raus? Die Daten werden plötzlich an andre Firmen weiterverkauft =)

 

[Hardware_Hoshi]

@Steffen
Sorry, das mit dem privaten Key war Fehler meinerseits. Ich dachte dies macht der Identitätsprovider, der den Key vom Browser bekommt um den gesamten Schlüssel zu generieren. Schon ein paar Jahre her mit PGP.

Es läuft genau umgekehrt, der Browser fügt es zusammen und verifiziert.
Dennoch habe ich hier Sicherheitsbedenken, weil Browser prinzipiell wegen Sicherheitslücken, Trojaner und evtl. Phishing gefährdet sind. Die Alternative über Javascript ist sogar noch heikler, da wir ja alle gelernt haben wie böse und unsicher J-Script ist. Nicht umsonst verwenden viele NoScript im Firefox oder deaktivieren alle Java(Script-)Optionen.

Auszug aus Update 16:16 Uhr
"Der geheime Schlüssel des bei der Public-Key-Verschlüsselung verwendeten Schlüsselpaars wird nur im Browser des Benutzers gespeichert. Der Identitätsprovider kennt nur den zugehörigen öffentlichen Schlüssel und kann somit nicht im Namen des Benutzers agieren."

Der Text im Update war mir nicht ganz klar wo die Schlüsel zusammengesetzt werden. Für den gemeinen DAU muss das verständlicher gemacht werden. Hättet Ihr im Artikeltext Bilder oder anderes Anschauungsmaterial hinzugefügt, wäre es klarer (trotzdem technisch nicht eindeutig wer was macht!).

Video, wie Mozilla es meint:
http://www.youtube.com/watch?v=l0t9yDLAmFo


Mir jedoch gleich Ignoranz unterstellen finde ich jetzt nicht fair! Jeder darf seine Bedenken äußern - vorallem, wenn man dieser "Technik" u.U. seine gesamten Passwörter und Zugänge anvertraut.

Jetzt frage ich noch einmal: Wieso nennen sie es BrowserID?
--> Der Begriff ist nach wie vor irreführend(!).
Wie die eingegebenen Log-In-Daten gespeichert und geschützt werden, steht leider auf keiner mir bekannten Seite.

 

[HappyMutant]

Jetzt frage ich noch einmal: Wieso nennen sie es BrowserID?
--> Der Begriff ist nach wie vor irreführend(!).

Nicht wirklich. Eine "ID" ist nun mal zunächst auch ein "Ausweis", oder allgemeiner eine Identifikation, und das wird hier über den Browser erledigt. Eine ID ist zwar auch in anderem Kontext eine eindeutige Nummer (weil auch das als Ausweis dienen kann), aber darum geht es wie schon mehrfach gesagt ja hier nicht. Die Wortwahl mag in Deutschland gefährlicher klingen, aber ich würde es ja eher mit BrowserAusweis gleichsetzen. Und das ist es nun mal.

Wie die eingegebenen Log-In-Daten gespeichert und geschützt werden, steht leider auf keiner mir bekannten Seite.

Das hatten wir doch schon mehrfach. Es werden keine anderen Daten als eben die in der News genannten gespeichert. Das System ist ein Ersatz für andere Login-Daten und -Varianten, kein Sammler für andere. Und gespeichert wird am Ende eben nur ein privater Schlüssel daheim und ein Public Key auf dem Server des E-Mail-Anbieters, der meine Daten eh hat, sonst nichts. Soweit ich das alles korrekt verstehe. Das heißt man braucht entweder diesen Key oder muss sich einen neuen generieren mit den Login-Daten des Providers, die man dann aber erneut verifizieren muss.

Das alles heißt nicht, das man nicht skeptisch sein kann und sollte, denn das System muss sich schließlich auch erst beweisen und vom Diebstahl des privaten Schlüssels bis zu nachlässiger Implementierung an diversen Stellen kann man sich vieles vorstellen, ohne das man jetzt konkrete Details kennt. Man kann sich auch fragen, wie beruhigend man es findet, dass dann der Anbieter durchaus dadurch wissen kann, wo man sich wann anmeldet und wie oft man Angebot XY nutzt.

Skepsis sollte sich aber an Fakten messen lassen und da ist der Name nun das letzte, woran man sich stören sollte.

Edit: Ach und nach Sichtung des Videos ist für mich eigentlich das erstaunlichste, dass man generell nach Hinterlegung des Anmeldedaten wohl gar kein Passwort mehr angeben muss. Da frage ich mich, wie das generell dann gelöst werden soll, wenn es um unerwünschten lokalen Zugriff geht. Wohl auch wie jetzt bereits über ein Master-Passwort des Browsers, aber das widerspricht natürlich der vermeintlichen Simplizität des Systems. Wie oben erwähnt werden zwar die allermeisten eh ihre Passwörter lokal speichern und kein Master-Passwort setzen, aber ich denke hier wäre die erzwungene Eingabe eines Passwortes beim Log-In wohl angenehmer.

Aber zumindest sagt der Autor des Videos das:

"- VEP (the underlying protocol) does not leak info about where you are signing into back to the identity provider"

Was ja die oben genannten Bedenken beseitigen würde.

 

[ice-breaker]

Die Alternative über Javascript ist sogar noch heikler, da wir ja alle gelernt haben wie böse und unsicher J-Script ist. Nicht umsonst verwenden viele NoScript im Firefox oder deaktivieren alle Java(Script-)Optionen.

JavaScript ist weder böse noch unsicherer als der Rest der Softwarekomponenten eines Browsers. Worauf du dich beziehst sind Sicherheitslücken in Webseiten auf Grund derer sich JavaScript einschleusen lässt, das ist aber kein JavaScript-Problem sondern ein Problem unsicher programmierter Webseiten

 

[MaverickM]

Naja da ohnehin fast jeder sein Passwort mehrfach nutzt, wäre das eigentlich nicht so tragisch. Die Realität geht ja schon in die Richtung. Und ob es so viel praktischer ist, sich für dutzende Accounts jeweils eine eigene Mailadresse zu machen sei mal dahingestellt. Am Ende landet vermutlich eh alles im gleichen Postfach, also wenn man darauf Zugriff hat...

Ich verwende für jede Webseite eine mindestens 22stelligen zufällig generierten Buchstaben und Zahlen-Salat als Passwort (Wenn es die Seite auch zulässt inklusive Sonderzeichen). Gespeichert werden die Daten bei mir lokal, verschlüsselt von der Software meines Fingerabdruckscanners. Das ist sicher und trotzdem ausreichend bequem.
Für besondere Sachen wie eMail Account, Online-Banking etc. habe ich noch einmal gesonderte Kennwörter, die ich nur im Kopf habe.

Und bei den eMail Adressen heisst das Geheimnis "Catch-All"