BrowserID: Universelles Login-System von Mozilla

Die Entwickler aus dem Hause Mozilla haben mit 'BrowserID' ein universelles Loginsystem öffentlich vorgestellt. Für die Nutzer soll sich der Login-Prozess möglichst einfach gestalten und zudem auf sichere Art und Weise ablaufen. mehr... browserid, browser id browserid, browser id

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Das ist ja noch schlimmer als die Passwortermanager in den Browsern.
 
@kubatsch007: Ja sicher... und von den 5h am Tag, die du am PC sitzt verbringst du 2h davon damit Passwörter einzugeben... Passwortmanager sind für unwichtige Seiten völlig in Ordnung. Sollte ich wirklich mal gehackt werden, dann hat der Hacker eben Zugriff auf meinen Winfuture Account, mir schnuppe. Anders wäre das womöglich bei einem Michael Diestelberg - dem dürfte die Accoutnsicherheit auf winfuture mittlerweile sicherlich sehr viel wichtiger sein :D
 
Ich nutze auch den Passwortmanager in Opera - für Seiten wie hier. Bleibe hier auch ständig eingeloggt, wie in Foren auch. Lediglich für Geld und Private Sachen (Ebay, Bank, Amazon und andere Shops) logge ich mich bei bedarf ein. Und das kostet keine 2h am Tag, vll 2 Minuten täglich.
Aber diese Idee schreckt mich auch ab - wie alles, was woanders gespeichert wird als in meinem Hirn und nem üblichen Zettel.
 
@Schweini1: Ja, genauso bzw. ähnlich handhabe ich das auch. Unwichtige Passwörter werden im Passwortmanager des Browsers gespeichert und alle anderen Passwörter (OnlineBanking, Amazon, PayPal usw.) werden in einer verschlüsselten KeePass-Datenbank gespeichert. Diese verschlüsselte KeePass-Datenbank habe ich zusätzlich auch noch Online gespeichert. Wenn ich also doch mal an ein Passwort ran muss, an das ich mich gerade nicht mehr erinnere und mein PC ist gerade nicht in Reichweite, dann lade ich mir einfach eine portable KeePass-Version herunter und öffne damit meine verschlüsselte KeePass-Datenbank. Letztlich muss ich mir so nur zwei Passwörter zwingend merken und das, ist das Passwort der verschlüsselten KeePass-Datenbank und das Passwort zum Online-Speicher, wo die Datenbank liegt. Wenn ich dieses mal vergessen sollte, dann bin ich wirklich am ar...! ;-) Aber das wird und kann aus diversen Gründen nie passieren, außer ich bekomme Alzheimer oder leide anderweitig unter Gedächtnisverlust.
 
@kubatsch007: Ich hasse es wenn ich mal an einem anderen Rechner bin und 10 Minuten + 20 Captchas brauch bis ich die richtige PW-Kombi gefunden hab :<
 
@Aerith: dein Post verstehe ich nicht ganz. Erstellst du ein neues Passwort oder versuchst du dein Passwort herauszufinden, wenn du am anderen PC bist?
 
@ProSieben: Letzteres. Ist halt der Nachteil wenn man nur sichere PWs benutzt die keinen Sinn geben. Sie sind schwer zu merken und bei vielen Seiten kommt man fix durcheinander.
 
@kubatsch007: "unwichtige Dienste" kann man ruhig in einem Online Dienst speichern, aber wichtige würde ich persönlich Lokal und vor allem Offline speichern. Ob nun KeePass oder ein Geheimfach in der Schublade, muss jeder selber wissen... aber Online, niemals!
 
@kubatsch007: Überhaupt nicht. Das Verfahren ist genial und wird in ähnliches Weise z.B. auch bei RSA-Verschlüsselung benutzt. Google einfach mal nach "Diffie-Hellman-Schlüsselaustausch" und Du weißt mehr darüber!
 
Ich sag nur "Last Pass". Ist sowieso das beste meiner Meinung nach ;)
 
@Thejajon: ich kann nur KeePass rein rufen. Lokal und Offline ist es mir sicherer. :)
 
@ProSieben: Jop,kann ich auch bestätigen! Ich nutze aber beide,wichtige Seiten mit KeePass der Rest in der Cloud mit LastPass..
 
@ProSieben: Und als Browser Extension für KeyPass gibt's noch KeyFox. Auch sehr praktisch, stellt via Rpc Server ne Verbindung zu KeyPass her und trägt nach Eingabe des MasterKeys die User/passwd Kombi automatisch in die entsprechenden Felder der Webseite ein.
 
Es gibt bereits Seiten mit mehr als 5 "Login" buttons, Facebook, Google, Live ID, OpenID, Twitter... Toll das ich jetzt noch einen Login Button mehr habe.
 
schei+e, ich dachte google kommt mit so was.
 
Irgendwie wird nicht deutlich, was der Vorteil gegenüber dem bereits lang vorhandenen OpenID ist. Ausser dass OpenID kaum verbreitet ist und Mozilla sicherlich genug PR-Wind in den Segeln haben, um ihren Plan durchzudrücken...
 
Dann poste ich mal das Gleiche wie auf heise, da scheinbar kein Newsschreiber die offensichtlichen Vorteile von BrowserID gegenüber OpenID & Co. erklären kann.

Ich zitiere: "Der geheime Schlüssel des bei der Public-Key-Verschlüsselung verwendeten Schlüsselpaars wird nur im Browser des Benutzers gespeichert. Der Identitätsprovider kennt nur den zugehörigen öffentlichen Schlüssel und kann somit nicht im Namen des Benutzers agieren. Beim Einloggen signiert der Browser mit dem privaten Schlüssel eine "Identity Assertion" bestehend aus E-Mail-Adresse, Domain der Website und Zeitstempel. Die Website kann diese "Identity Assertion" anschließend anhand des öffentlichen Schlüssels, den sie von dem Identitätsprovider anfordert, verifizieren. Dies ist ein weiterer wesentlicher Vorteil von BrowserID gegenüber beispielsweise OpenID."
(Quelle: http://www.computerbase.de/news/software/browser/2011/juli/einfacher-login-via-browserid-von-mozilla/)

tl;dr: OpenID kennt die Webseiten, bei welchen man sich einloggt. Mit BrowserID bleibt man gegenüber dem "Identitätsprovider" (also BrowserID) anonym.

Und hier nochmal offiziell von Mozilla:
http://identity.mozilla.com/post/7669886219/how-browserid-differs-from-openid
 
@beezy: Jo und? Was soll ich dann tun, wenn ich an einem anderen Browser hocke? OpenID zum Beispiel verwendet Benutzername+Passwort, wenn ich das im Kopf habe, kann ich mich einloggen. So einen Schlüssel merken kann man sich beim besten Willen nicht.
 
schön, dann kann man damit seine user besser tracken :->
 
Äh man soll eine E-Mail angeben und dann...? Wird etwas Magie drauf angewendet? Muss das jetzt der Browser unterstützen oder nicht?
 
@sinni800: Das wird warscheinlich so ablaufen das du eine Mail bekommst, mit einem Key oder so, welcher dann an deinen Browser gekoppelt ist. Wenn du dich dann wo einloggen willst wird automatisch beim klick auf Login mit deiner email eingeloggt. Auf manchen Seiten kann man sich ja über Facebook einloggen, zB beim Spiel Ikariam ---- Gibt zB ein Addon für Chrome, mit dem kann ich links direkt an mein Smartphone schicken (chrome to phone), zuerst fragt mich das Addon nach meiner GMail-Adresse und dann ... magic... Mein Android und mein Chrome sind verheiratet! €: Anderes Beispiel, zum Schutz eines Battle.net-Accounts (WoW, Diablo3, Starcraft2) kannst du einen "mobile authenticator" runterladen, zuerst zeigt dir das App eine eindeutige Seriennummer, die trägst du in deinem Account ein, zur Sicherheit (gegen Tippfehler), musst du 2 nachfolgende Pins eintragen (das app generiert alle 20 Sekunden oder so einen neuen Pin, was die Sicherheit unterstützen soll da man zuerst das Passwort eingibt, und erst danach nach dem Pin gefragt wird) ... Tadaa... mein Battle.net-Acc ist nur noch benutzbar wenn ich einen Pin eingeb der auf einem Smartphone generiert wird ... Es sieht zwar anders aus wie das mit der BrowserID, ist aber im Prinzip dasselbe, würd ich meinen.
Kommentar abgeben Netiquette beachten!