Einfacher Login via BrowserID von Mozilla

Update Steffen Weber
55 Kommentare

Jede Webseite, die einen Login erfordert, erfordert aktuell eine eindeutige Kombination aus Benutzernamen oder E-Mail-Adresse und Passwort. Einen anderen Ansatz verfolgt Mozilla mit „BrowserID“, welche Nutzern einfacheres Einloggen ermöglichen soll. Dabei wird im Wesentlichen das Verified E-Mail-Protokoll genutzt.

Die zentrale Idee ist, dass Websites die Authentifizierung an einen Identitätsprovider auslagern. Dabei könnte es sich beispielsweise um E-Mail-Provider handeln. Andere Anbieter sind nicht per se ausgeschlossen, müssen aber zum Verifizieren der E-Mail-Adresse des Benutzers logischerweise etwas Mehraufwand betreiben. Der Benutzer benötigt letztendlich nicht mehr für jede Website ein Passwort, sondern nur noch eines für seinen Identitätsprovider. Wenn er sich auf einer Website einloggen möchte, dann bestätigt der Identitätsprovider – nach Rückfrage – seine Identität gegenüber der Website mit Hilfe von Public-Key-Verschlüsselung.

Damit sich ein BrowserID-Benutzer auf einer Website einloggen kann, muss die Website dem vom Benutzer gewählten Identitätsprovider vertrauen. Aus diesem Grund wird die Anzahl der Identitätsprovider vermutlich überschaubar bleiben. Letztendliches Ziel ist die Integration von BrowserID direkt in den Browser, aus Gründen der Abwärtskompatibilität steht aber auch eine eine reine JavaScript-Implementierung auf browserid.org zur Verfügung.

Bereits jetzt kann sich ein Benutzer gegenüber einer Website anhand seines Accounts bei einem Internetriesen wie Google, Facebook und Twitter authentifizieren. BrowserID verfolgt das Ziel, diesen Prozess zu vereinfachen, zu standardisieren und in den Browser zu integrieren – der zuletzt genannte Punkt ist auch ein zentraler Unterschied zu OpenID. Somit könnte der Browser das Ein- oder Ausloggen anhand eines dedizierten Buttons initiieren und dadurch zum Beispiel die von Phishing ausgehende Gefahr reduzieren.

Update

Der geheime Schlüssel des bei der Public-Key-Verschlüsselung verwendeten Schlüsselpaars wird nur im Browser des Benutzers gespeichert. Der Identitätsprovider kennt nur den zugehörigen öffentlichen Schlüssel und kann somit nicht im Namen des Benutzers agieren. Beim Einloggen signiert der Browser mit dem privaten Schlüssel eine „Identity Assertion“ bestehend aus E-Mail-Adresse, Domain der Website und Zeitstempel. Die Website kann diese „Identity Assertion“ anschließend anhand des öffentlichen Schlüssels, den sie von dem Identitätsprovider anfordert, verifizieren. Dies ist ein weiterer wesentlicher Vorteil von BrowserID gegenüber beispielsweise OpenID.