Mehr Sicherheit und Komfort durch 1-Klick-System

Mozilla bringt mit BrowserID einen Universal-Log

Die Mozilla Labs haben mit "BrowserID" einen zunächst experimentellen Ansatz für ein Universal-Log-in im Web vorgestellt. Das Projekt verspricht Usern ein einfaches Anmelden auf Seiten mit einem Klick und ohne zusätzliches Passwort.

Um das zu ermöglichen, setzt Mozilla auf verifizierte E-Mail-Adressen als Kernstück von BrowserID. Das erlaubt Webseiten, die Identität des Users im Hintergrund mithilfe kryptographischer Schlüssel zu überprüfen. Gegenüber der Nutzung beispielsweise von Facebook- oder Google-Accounts als Universal-Log-in soll BrowserID dadurch punkten, dass es die Privatsphäre des Users besser schützt. Entwickler lockt indes das Versprechen, dass das System sehr leicht in Webangebote zu integrieren ist. Zudem betont Mozilla, dass BrowserID keineswegs eine reine Firefox-Lösung ist, sondern prinzipiell in allen modernen Browsern inklusive Internet Explorer funktioniert.

BrowserID soll Usern ersparen, sich mit etlichen Passwörtern herumzuschlagen, und dafür eine attraktivere Lösung bieten als Logins mittels Drittanbietern wie Facebook oder Google. "Diese Produkte bedeuten einen Lock-in, haben Zuverlässigkeitsprobleme und es gibt Datenschutz-Bedenken", so Dan Mills vom Identity-Team der Mozilla Labs in dessen Blog. Der Ansatz soll dadurch punkten, dass User jede beliebige E-Mail-Adresse nutzen können. Zudem betont Mozilla, dass es im Gegensatz zu anderen Lösungen keine Datenlecks gibt, bei denen Informationen an Server von Drittanbietern weitergegeben werden.

BrowserID nutzt das "Verified E-Mail-Protocol". Um das System zu nutzen, meldet sich der Nutzer mit einer E-Mail-Adresse an und erhält einen Bestätigungslink zugesandt. Klickt der User darauf, legt das System im Browser einen Krypto-Schlüssel ab. Um sich bei einer Webseite anzumelden, reicht es dann, die E-Mail-Adresse zu wählen und den Vorgang mit einem Klick zu bestätigen. Im Hintergrund vergleicht BrowserID den Browser-Schlüssel mit einem, der vom jeweiligen E-Mail-Anbieter oder nötigenfalls einem Drittanbieter gehostet wird - und erkennt so, dass den Browser ein User mit dieser E-Mail-Adresse nutzt.

Zwar lockt Mozilla schon jetzt Webentwickler damit, dass sie BrowserID mit wenigen Code-Zeilen in ihre Angebote integrieren können. Doch noch befindet sich das System in einer sehr frühen Entwicklungsphase. So liegt der aktuelle Prototyp in HTML und JavaScript vor. In Zukunft soll BrowserID direkt in Browser integriert sein - klarerweise in Firefox, aber auch in die wichtigen Konkurrenten, so die Mozilla-Hoffnung.

Der Prototyp ist laut Mills zunächst dazu gedacht, dass die Community Feedback zum Projekt geben kann. Denn noch wird an BrowserID laufend gefeilt. Dabei wird sich Mozilla auch definitiv noch mit Detailfragen befassen müssen. Ein pressetext-Schnelltest zeigt beispielsweise, dass der Prototyp Schlüssel offenbar bis zur manuellen Löschung im Browser speichert. Das birgt auf geteilten oder gar öffentlichen Computern ein gewaltiges Risikopotenzial, falls ein User auf das Löschen vergisst. (pte/cvi)