Hmmm, anscheinend habe ich noch größere Verständnisschwierigkeiten, was eine solche Art der Authentifizierung angeht.

Zunächst mal geht es ja darum, dass ich als User „Siegfried“ irgendwo einen Kommentar eintragen will. Dazu gebe ich im Kommentarformular u.A. meine e-mail Adresse und die URL zu meiner HP ein. Jetzt ist die Frage, was der Server, der diese Daten erhält, macht.

Ich denke mal, er lädt die Seite der angegebenen URL. Dort findet er die Metaangabe und weiss so, wie er die Prüfsumme zu bilden hat, und weiss, wie das korrekte Ergebnis lauten muss. Er bildet nun diese Prüfsumme wie in der Metaangabe angegeben, und vergleicht das Ergebnis mit der Vorgabe.

Stimmen Beide überein, weiss der Server, dass ein User Namens „Siegfried“ in der Tat Eigentümer der Seite ist, die unter URL angegeben wurde. Was er jedoch nicht weiss, ist, ob der Kommentator auch tatsächlich derjenige ist, der er zu sein vorgibt. Jeder X-Beliebige könnte sich aus einem meiner Kommentare die URL zu meinr HP rausfischen. Dort findet er einen Link zu meinem Impressum und dort meine e-mail Adresse. Nun hat er beide Informationen, um sich als ich auszugeben.

Ich denke mal, hier kommen jetzt irgendwie diese externen Dienste wie ClaimID ins Spiel. Wie eigentlich?

Dabei wäre die Lösung eigentlich super simpel. Man müsste die ID aus 3 Komponenten aufbauen. Eine davon muss ein selbst gewähltes Passwort sein. Dieses wird nirgendwo gespeichert, steht also einem ID-Klauer nicht zur Verfügung. Der Server bildet die Prüfsumme mit allen drei Komponenten, und wenn’s stimmt, kann das Passwort sofort wieder vergessen werden.