Wer kennt das nicht: Bei Amazon hat man eine andere Kundennummer und ein anderes Passwort als beim Online-Weinhändler, und die Anmeldung beim Chat funktioniert noch einmal anders. Wäre es also nicht viel bequemer, sich nur ein einziges Passwort merken zu müssen?
Genau diese Strategie verfolgen "Single-sign-on"-Anbieter. Sie verwalten all die verschiedenen Nutzerkennungen samt Kreditkartennummer für die jeweiligen Dienste, man benötigt nur noch ein einziges Passwort, quasi einen Generalschlüssel. Dies funktioniert aber nur bei den Websites, die beim betreffenden Single-sign-on-Dienst registriert sind.
Derzeit zeichnen sich zwei große Anbieter von derartigen Services ab. Da ist Microsoft: Die Redmonder haben ihren Authentifizierungsdienst "Passport" bereits Ende 1998 ins Leben gerufen. Erst im vergangenen Jahr zog Sun mit der "Liberty Alliance" nach. Dafür war die Akzeptanz dieser Initiative um ein Vielfaches höher: Die Allianz zählt derzeit 38 zahlende Mitglieder, neben Sun finden sich darunter Unternehmen wie AOL, American Express, Mastercard, HP, Cisco oder Sony.
Microsoft ist hingegen weitgehend auf sich selbst gestellt. Erschwerend kommt hinzu, dass die Redmonder Passport derzeit von der gesicherten HTTP-Kommunikation auf das eigene Authentifizierungssystem "Kerberos" umstellen. Dieses wiederum ist ein fester Bestandteil aller Windows-Versionen ab 2000 aufwärts. Das Sign-on vom Client des Kunden zum Server des Anbieters ist damit um einiges sicherer geworden, funktioniert aber nur, wenn beide Parteien Kerberos unterstützen.
Da Microsoft quasi als alleinige Zentralinstanz von Passport fungiert, ist weiterhin die Gefahr gegeben, dass nach Einbruch in den Kerberos-Server ein Hacker Zugriff auf alle kundenrelevanten Daten wie Nutzerkennung, Passwort und Kreditkartennummer erhält. Reine Theorie? Weit gefehlt! Vor drei Monaten gelang es einem Programmierer aus der Open-Source-Gemeinde, den Wallet-Service von Passport zu knacken. Dort sind die Kreditkartennummern der registrierten Benutzer abgelegt. Doch der Entwickler missbrauchte sein Wissen nicht und informierte Microsoft. Daraufhin entfernten die Redmonder die "elektronischen Geldbeutel" der Anwender vom Netz.
Passport öffnet sich
Sun behauptet nun, innerhalb der Liberty Alliance wäre ein solcher Einbruch kaum zu bewerkstelligen, da kein Kunde gezwungen wird, alle seine Daten bei einem einzigen Anbieter zu speichern. Vielmehr kann er sich erst mal frei unter den Allianz-Mitgliedern entscheiden und gegebenenfalls seine Daten auf mehrere Server aufteilen.
Mittlerweile hat auch Microsoft eingesehen, dass ohne eine gewisse Öffnung der Passport-Dienst chancenlos bleiben wird. Anbietern von Webservices soll der Zugang über Passport erleichtert werden. Damit versuchen die Redmonder, ihre "Dotnet My Services"-Initiative (früherer Codename "Hailstorm") am Leben zu erhalten.
ComputerPartner-Meinung:
Derzeit hat die von Sun lancierte Liberty Alliance eindeutig die weitaus besseren Chancen, zu dem Standard-single-sign-on-Verfahren zu werden. Mittlerweile liebäugelt sogar Microsoft mit einem Beitritt. Dann bekäme Passport den Status eines Authentifizierungssystems unter vielen. Solange sie alle zueinander kompatibel bleiben, kann es den Online-Kunden nur recht sein; auch die Systemintegratoren würden sich bei der Arbeit mit standardisierten Softwarepaketen leichter tun. (rw)
www.passport.com
www.projectliberty.org