Ohne Identität kein Web 2.0
Es ist keine Seltenheit, dass sich Mitarbeiter bis zu 10 mal am Tag an verschiedenen Anwendungen anmelden müssen. Die Begeisterung darüber hält sich verständlicherweise in Grenzen. Zumindest habe ich noch keinen getroffen, der sich freut immer und immer wieder seinen Login mit hoffentlich richtigem Passwort in ein Anmeldeformular einzutippen.
Das Problem wurde schon vor Jahren erkannt und Softwarehersteller bieten zumindest für abgeschlossene Firmennetze inzwischen vielfältige Produktlösungen an. So scheint das Problem in einigen Firmen bereits abgemildert zu sein und viele Anwendungen sind tatsächlich über Single Sign-On (SSO)-Lösungen zusammengeschaltet.
Die Welt der Identitäten
Im Internet sieht die Welt jedoch etwas komplizierter aus. Anwendungen, Webdienste und Portale stammen nicht von einigen wenigen Herstellern oder Zulieferer. Eine unglaubliche Vielzahl von Verfahren, Produkten, Lösungen und Entwicklungen führt zu einer Technik, die weit weg ist von Standards und gemeinsamen Umgang mit Anmeldedaten von Benutzern.
Selbst wenn technische Regelungen zum Austausch von Anmeldedaten existieren würden, ist doch sehr fraglich ob solche Daten weitergegeben werden sollen oder wollen. Keiner weiss was dann mit den Daten geschieht und der Benutzer verliert schlichtweg die Kontrolle über seine Daten. Der Ruf nach einer übermächtigen Instanz, welche die Anmeldedaten vertrauensvoll verwalten soll liegt daher auf der Hand. Dann hätte auch ein Benutzer noch den Überblick und kann über diese Zentrale Instanz kontrollieren wem er welche Daten zur Verfügung stellt und was damit geschieht.
Identitäten im wirklichen Leben
Im wirklichen Leben nutzen wir ein solches Modell fast täglich. Kaufen wir ein Kleidungsstück überreichen wir die Kreditkarte, stehen wir an der Tankstelle überreichen wir die Kreditkarte, bezahlen wir im Restaurant überreichen wir die Kreditkarte. Was passiert ist, dass eine zentrale Stelle -nämlich das Kreditkarteninstitut- die Zahlung bestätigt oder nicht. Dies geschieht aber nur dann, wenn die Karte eindeutig authentifiziert, das Limit und manchmal sogar die Bonität geprüft worden ist. Und genau das ist das Prinzip mit dem die Loginproblematik im Internet versucht wird zu lösen. Hierfür gibt es zahlreiche Entwicklungen die gerne auch unter der Überschrift Identity 2.0 aufgezählt werden. LID, SXIP, YADIS, CardSpace, i-names und vor allem OpenID sind solche Vertreter.
Web & Identity = 2.0
Mit dem inzwischen leicht überstrapazierten Zusatz „2.0“ soll bei Identity 2.0 auch zum Ausdruck kommen, dass die nächste Generation von Webanwendungen (Stichwort Web 2.0) ohne einen vernünftigen Umgang mit der bequemen und sicheren Authentifizierung für Nutzer keinen wirklichen Mehrwert bringt. Das ist auch die Position von dem bereits mehrfach zitierten Identity 2.0-Pionier, Dick Hardt. Unter Anderem wird der Kanadier auf dem Web 2.0-Kongress (vom 25.-26.04. in Mainz) als Keyspeaker zu Gast sein und dort zurecht unterstreichen, dass ohne Identitäten keine guten Web 2.0-Dienste realisierbar sind.
Hallo Herr Belikan,
was verstehen Sie unter „Bisher“? Kennen Sie evtl. bereits Lösungsansätze?
Ich hatte die Problematik der Überprüfung der Identitätsangaben bereit bei iam-wiki.org angesprochen. Dort waren keine Projekte zur Lösung zur Erreichung einer „qualifizierten elektronischen Identität“ bekannt.
Grüße
Matthias Schilha
Hallo Hr. Schilha,
sie haben selbst die Antwort gegeben. „Bisher“. Es wird imho verschiedene „Qualitäten“ von digitalten Identitäten geben. Z.B. ist das ganze Thema Light-Weight oder User-Centric Identity dadurch entstanden, dass eine einfache „leichte“ Authentifizierung für simple Webdienste völlig ausreichend ist. Die Qualität der digitalen Identität also nicht sehr hoch sein muss.
In die andere Richtung gedacht, muss die (digitale) Identität, wie bei der Ausstellung einer Kreditkarte (nicht die Prüfung – Missbrauch von Kreditkarten kennen wir) bestätigt werden. Insofern haben Sie Recht, weil die „Qualität“ der Identität eine andere ist. Was aber unabhängig davon gilt ist das PRINZIP, wie künftig Identitäten „gemanagt“ werden.
Übrigens sind Analogien zur Diskussion um die „Stärke von Authentifizierungen“ und Fragen wie: „Ist das denn Sicher genug?“ erlaubt.
Hallo Herr Belikan,
Ihr Vergleich mit dem Kreditkartenunternehmen ist leider nicht korrekt. Bei keinem Anbieter von digitalen Identiäten wird bisher die Korrektheit der Angaben verifziert. Im Gegensatz dazu benötigt man bei der Bentragung einer Kreditkarte einen Personalausweis.
Keine Frage: OpenID ist der Schritt in die richtige Richtung. Solange aber das Problem der Datenzuverlässigkeit gelöst ist, bietet OpenID nichts weiter als eine gefakte Identität.
Grüße
Matthias Schilha
Leider ist der Eintrag etwas versteckt, hier ein direkter Link:
http://openiddirectory.com/index.php?do=keywords&id=65&words=it-and-business
Hint: Es gibt da einen Vote Button, ruhig mal ausprobieren :-).
Hallo Oliver,
sehr guter Beitrag, ich kann Ihrem Posting nur zustimmen.
Gleichzeitig ist der Test per OpenID einen Kommentar abzusetzen erfolgreich gelungen und wir haben Ihren Eintrag bei The OpenID Directory“, dem internationalen Verzeichnis für OpenID-fähige Websites, gerne aufgenommen.
Gruesse!
Thomas Huhn