id4me - Identity-Management ohne Google, Facebook, Twitter

Denic, 1&1 und Open-Xchange wollen mit id4me eine alternatives Single-Sign-On-Verfahren auf Basis von Domains etablieren, bei dem Benutzer volle Kontrolle über die Weitergabe ihrer Daten haben. Das Projekt wirbt um Akzeptanz.

In Pocket speichern vorlesen Druckansicht 32 Kommentare lesen
id4me - Identitymanagement ohne Google, Facebook, Twitter

id4me soll das Anmelden bei beliebigen Diensten erlauben und dem Benutzer die Kontrolle über seine Daten geben.

(Bild: domainpulse.de / DeNIC)

Lesezeit: 3 Min.
Von
  • Monika Ermert
Inhaltsverzeichnis

Der Domainverwalter Denic eG, das Softwareprojekt Open-Xchange und der Hoster 1&1 arbeiten an einem neutralen Single-Sign-On-Verfahren auf Basis von Domainnamen. Nutzer könnten sich ihre Identitätsprovider selbst aussuchen, erläuterte Denic-Entwickler Marcos Sanz Grossón bei der Konferenz Domain Pulse in München. Sie könnten außerdem darüber entscheiden, auf wie viele Daten und wie lange ein bestimmter Dienstleister zugreifen darf. Eine neue Organisation in Brüssel soll für ID4me werben, das bis vor kurzem noch DomainID beziehungsweise iNetID hieß.

Die Single-Sign-On-Technik erleichtert per einmal hinterlegter Identität das Anmelden bei beliebigen Web-Diensten und ist nach Ansicht von Sanz Grossón viel zu attraktiv, um sie den am Datensammeln interessierten großen Social-Media-Plattformen zu überlassen. id4me soll dagegen eine offene und datenschutzfreundliche Alternative anbieten, erläutert er in seinem Vortrag (PDF-Datei).

Mit id4me (hier noch unter der Vorgängerbezeichnung iNetID) kontrolliert der Benutzer, welcher Onlinedienst wie viele Informationen mit der Anmeldung erhält.

(Bild: Univention / Open-XChange)

id4me soll Nutzern ein einfaches Tool an die Hand geben, mit dem sie festlegen können, welchen Online-Unternehmen sie etwa ihre vollständigen persönlichen Daten anvertrauen wollen, wer die Postadresse nicht benötigt und wem gegenüber sie nur mit Pseudonym auftreten wollen. Die Zugriffsberechtigung lassen sich auch nachträglich ändern oder widerrufen. Ein Log über die Zugriffe gibt es auch, die benutzerfreundliche Aufbereitung steht aber noch aus.

Wie andere Single-Sign-On-Produkte basiert id4me auf dem Standardprotokoll OpenID Connect, das seinerseits auf OpenID und OAuth basiert. Durch die Verknüpfung von OpenID Connect mit dem Domain Name System (DNS) lässt sich der verantwortliche Identitätsprovider leicht mit einer schlichten DNS-Abfrage im Hintergrund aufspüren.

Aus Sicht einer Registry wie der Denic oder eines Registrars wie 1&1 sind Domains als Anker für den Single-Sign-On naheliegend. Bei 1&1 kann man sich das als Kombination aus Free- und Premium Dienst vorstellen. Entscheidend aus Sicht der Entwickler dürfte jedoch sein, dass durch die Verbindung mit dem DNS die Benutzer aus einer unbeschränkten Zahl austauschbarer Identity-Anbieter wählen können, etwa den eigenen Registrar oder Mailprovider. Wer technisch versiert ist und seine eigene Domain besitzt, könnte den notwendigen DNS-Eintrag sogar selbst einfügen, versichert Sanz.

Damit id4me sich durchsetzen kann, müssen es allerdings Online-Dienste und -Händler akzeptieren. Die Denic- und Open-Xchange Entwickler bekamen schon bei der Vorstellung bei der IETF einige Widerstände zu spüren – es dürfte noch einige Überzeugungsarbeit notwendig sein. Um für das Konzept zu werben, haben die drei initialen Partner eine Not-for-Profit Organisation in Brüssel gegründet. Die sucht nun weitere Mitstreiter und lädt zu Feedback ein.

Der Sourcecode ist bei Gitlab und bei Connect2id verfügbar. Zur Sicherheit sind auch die IETF-Standards DNSSEC und ACME im ID4me-Konzept eingebaut. DNSSEC sichert Domains gegen die Nutzung durch Phisher, ACME unterstützt die Hinterlegung von Zertifikaten und Schlüsseln im DNS. (tiw)