Das Ende der Passwörter: Windows Vista, IE und Infocard

Im Bereich der Web-Sicherheit richten sich derzeit alle Augen auf Microsoft: Zusammen mit Windows Vista will das Unternehmen eine neue Technologie für das Identitätsmanagement vorstellen: Mit „Infocard“ will Microsoft das zunehmende Problem des Identitätsdiebstahls in den Griff bekommen. Bill Gates spricht von Infocard sogar als die Lösung, die endlich die Kombination aus Benutzernamen und Passwörtern als Identifikationsmittel im Internet ersetzt.

Das Konzept von Infocard ist ein Identitäts-Metasystem, das drei involvierte Parteien vorsieht:

• das Subjekt (der Kunde), meist eine natürliche Person, dessen Identität geklärt werden soll
• die Relying Party (der Dienstleister) – derjenige, der an der Identität interessiert ist, und
• der Identity Provider – derjenige, der die Identität sicherstellt und prüft

Benutzt ein Kunde eine Infocard, sendet Vista beziehungsweise der Internet Explorer eine Anfrage an den Identity Provider. Dieser bestätigt dem Dienstleister die Identität des Kunden. Der Datenaustausch findet über Web-Service-Protokolle wie etwa SOAP (Simple Object Access Protocol) statt.

Falls Microsoft eine Lektion über miserables Identitätsmanagement nötig hat, genügt ein Blick in die eigene Vergangenheit. Mit Passport hatte Microsoft genau den falschen Ansatz gewählt, da sich der Software-Hersteller damit unnötig zwischen Unternehmen und Kunden gestellt hat. So sieht es jedenfalls Kim Cameron, der Experte für Identitätsmanagement, der das Infocard-Projekt leitet.

Doch bevor Infocard überhaupt irgendetwas ersetzen kann, muss Microsoft zunächst dafür sorgen, dass Internetseiten sie benutzen, Banken und Kreditkartenunternehmen sie unterstützen und nicht zuletzt, dass auch die Kunden mitmachen. Cameron gab CNET News.com ein Interview und sprach dabei über Infocard, wie es funktioniert, und was Microsoft tun muss, damit dieses Projekt nicht auch scheitert.