Orkpiraten

Mein Wunsch Web 2.0 Dienst: Anyonme Authentifizierung

Su-Shee mach seit einigen Posts auf die Möglichkeiten und Grenzen der persönlichen Einflußnahme auf die Gesellschaft aufmerksam. Parallel hat der Heise Verlag in erster Instanz feststellen müssen, daß Forenbetreiber für Beiträge haftbar sein sollen.

Liest man dann noch die gängigen Ticker und geht mit offenen Augen durch die Welt, stellt man also fest: Unsere Freiheiten, ob verdient oder nicht, sind in Gefahr!

Mir ging heute während einer Präsentation über Single Sign On Software einiges durch den Kopf:

• Es gibt zig unterschiedlichste Stellen im Internet bei denen ich mich irgendwie authentifizieren muss.
• viele Leute bleiben dennoch sehr gerne anonym, haben aber gerne reservierte Nicknames, gespeicherte Einstellungen, etc — am liebsten ohne gesetzte Cookies
• Ich selbst bin schon bei über 20 verschiedene Logins im Netz die ich mir merken muss! Ok, da gibts Tricks und Kniffe sich da zu organisieren, aber das ist eigentlich nur eine Notlösung.
• Es gibt zwar Ansätze solches zu zentralisieren, aber nicht jeder will Microsoft oder Google alles anvertrauen.

Es fehlt also eine Lösung, die es mir ermöglicht mich überall sicher zu authentifizieren, dabei gegebenenfalls anynom zu bleiben, und das ganze so organisiert, daß auch der Authentifizierer nicht alles von mir erfährt.

Sowas muss doch möglich sein: Eine zentrale, von „uns Geeks“ getragene Stelle die Anmeldungen handhabt. Ich hinterlege dort meine „Master-Identität“, mit Public Key und allem drum und dran. Wenn ich jetzt auf eine neue tolle Webseite stosse, die eine Registrierung verlangt (um zum Beispiel Forumzugang zu gewähren, einen Einkaufskorb zu verwalten, oder einfach nur um Einstellungen wie Seitenlayout und so zu speichern), erlaube ich dieser, gewisse Informationen von der Zentrale abzufragen:

• „Ja, das ist $NUTZERALIAS, der sich letzte Woche hier angemeldet hat.“
• „Das ist tatsächlich $REALNAME.“
• „Er hat $EMAILADRESSE.“
• „Er hat $ECHTE_ADRESSE, $KONTONUMMER, etc.“

Was immer halt im Kontext gebraucht wird. Wenn ich anonym bleiben will, sendet die Zentrale nur die Bestätigung, daß ich die gleiche Nase wie beim letzten Mal bin, ohne Namen, Email oder sonstwas. Wenn ich etwas kaufe, folgen alle für den Kauf relevanten Infos. Aber eben nur mit meiner Freigabe.

Umgekehrt sollte der Server auch nur das nötigste von der betreffenden Webseite erfahren. Im Idealfall nur einen Hashwert, der keinen Rückschluß auf die Seite erlaubt. Zusätzlich sollten alle Nutzerdaten hochverschlüsselt auf dem Authentifizierungsserver liegen, so daß bei einer etwaigen Beschlagname von wem auch immer nichts herauskommt.

Wenn wir das ganze noch mit Strukturen wie Freenet kombinieren bekommen wir das Konstrukt auch noch robust.

Und, wer fühlt sich nun angesprochen?

«Captchas waren gestern»Your temporary conscience operative arrived.