Sicherheitsexperten sind auf der Suche nach Möglichkeiten, um die weit verbreitete Passwort-Identifikation im Internet durch bessere Techniken zu ersetzen. Microsofts Chief Architect of Identity, Kim Cameron, vertraut dabei voll auf die Information Card Technologie. Die Identifikation funktioniert dabei ohne die Eingabe von Codes, da sie direkt vom verwendeten Computer ausgeht, und hat den Vorteil, dass sie auf nur schwer zu knackenden kryptografischen Codes basiert. Sehr skeptisch steht Cameron der OpenID-Initiative gegenüber, die ermöglichen will, sich mit lediglich einem Passwort-Login auf mehreren Seiten bewegen zu können. "Ich mag Single Sign-Ons nicht. Ich glaube nicht daran", sagt Cameron gegenüber der New York Times.
Die Identifizierung durch Information Cards ist ein Kommunikationsprozess, der zwischen dem PC und der Webseite abläuft. Der User klickt dabei lediglich auf ein Icon und muss keinen Code eingeben. Dann läuft eine kryptografische Konversation zwischen den Geräten ab, bei der Menschen keine Rolle spielen. Eine Schwachstelle hat jedoch auch die Information Card Technologie: In einem Büro könnte jeder auf sensible Seiten zugreifen, wenn der PC kurz unbeaufsichtigt ist. Um das zu vermeiden gibt es die Möglichkeit einer PIN-Eingabe, die die Verwendung der Information Card durch Fremde verhindert. Dieser PIN hat gegenüber Passwörtern den großen Vorteil, dass er den Computer nicht verlässt und damit nicht für Phisher zugänglich ist.
Die Software zur Erstellung von Information Cards befindet sich derzeit auf lediglich 20 Prozent aller verwendeten Computer, beispielsweise auf allen PCs mit Windows Vista. Doch in erster Linie hängt die Durchsetzung der Technologie von der Akzeptanz der Webseitenbetreiber ab, die diese unterstützen müssen, um ihre Verbreitung zu ermöglichen. Die Information Card Foundation hat sich zum Ziel gesetzt, diese Technologie zu fördern. Zu den Gründungsmitgliedern gehören Microsoft und Google. Auch PayPal ist Teil der Foundation und unterstützt die Information Card Technologie. Das Unternehmen, das eBay gehört, hat Zugang zu den Kontodaten seiner Kunden und daher ein besonders großes Interesse an möglichst hoher Sicherheit. (pte/rw)