Netpin

Netpin war ein zentrales System zur Identifizierung der Inhaberschaft von E-Mail-Adressen. Das zugrundeliegende Funktionsprinzip wurde vom Interessenverband Deutsches Internet e.V. spezifiziert und durch die Online Ident GmbH implementiert. Der Dienst wurde im Dezember 2006 eingeführt, richtete sich an Unternehmen und deren Kunden und war nur in Deutschland verfügbar. Der Dienst wurde im Oktober 2009 mangels Nachfrage eingestellt.

Funktionsweise

Für eine gegebene E-Mail-Adresse wird auf einem zentralen Server einmalig eine vierstellige Geheimzahl erzeugt (die sog. Netpin). Die Netpin kann vom Nutzer nicht verändert werden. Die Erzeugung der Netpin geschieht im Prinzip durch ein Double-Opt-in-Verfahren, das durch einen Freischaltcode zusätzlich gegen mögliche Man-in-the-middle-Angriffe geschützt ist. Als Phishing-Schutz wird bei der Netpin-Generierung durch den Anwender ein freier Kontrolltext angegeben, der nach jedem Identifizierungsvorgang dargestellt wird.

Die Überprüfung der Netpin geschieht durch einen einheitlichen Anmeldedialog, bei dem E-Mail-Adresse und zugehörige Netpin eingegeben werden. Anbieter von Webdiensten können den Aufruf des Netpin-Anmeldedialogs in ihre Webseiten integrieren. Die Verifikation geschieht allerdings immer auf dem zentralen Netpin-Server, der den Anbieter per Backlink über das Ergebnis der Verifizierung informiert. Die Geheimzahl des Nutzers wird also für die Diensteanbieter nicht sichtbar. Das Netpin-Verfahren kommt ohne JavaScript, Cookies o. Ä. aus.

Das Netpin-Verfahren übernimmt lediglich die Verifikation der E-Mail-Adresse, nicht die Implementierung in der Anwendung. Wie das Verfahren konkret eingesetzt wird, bleibt dem jeweiligen Anbieter überlassen. In der Regel ersetzt das Netpin-Verfahren bestehende Double-Opt-in-Lösungen. Durch den Einsatz von Cookies beim Anbieter lassen sich auch Single-Sign-on-Lösungen realisieren.

Einsatzgebiete

Das Netpin-Verfahren stellt ein besonders sicheres Double-Opt-in-Verfahren dar, das vom Anwender nur einmalig initial durchgeführt werden muss. Anschließend erfolgen die Anmelde-Vorgänge – soweit von den Webanbietern unterstützt – nur noch durch die Netpin. Dies beschleunigt die Anmeldevorgänge und der Anwender muss sich nur eine Geheimzahl merken. Überwacht wird das Verfahren von einer Verbraucherschutz-Institution. Die Anwendungsgebiete liegen dementsprechend im Verbrauchersegment: Bestellung von Werbemitteln, Newslettern, eCards, Anmeldung an Foren, Wikis etc. Für diesen Bereich existierte bislang kein einfach verständliches, einheitliches Schutzverfahren für den nicht IT-affinen Internetnutzer. Die wichtigste Motivation für den Einsatz bei den Anbietern liegt in der Vermeidung kostspieliger Abmahnungen wegen des ungewollten Versands unerwünschter E-Mail-Werbung. Die Nutzung des Verfahrens ist für Verbraucher kostenlos. Für Anbieter, die das Verifikationsverfahren einsetzen, fallen Kosten zwischen 5 bis 30 Euro (abhängig von der Unternehmensgrösse) monatlich an. Die Netpin wurde u.a. zur Anmeldung für die Deutsche Robinsonliste eingesetzt, welche aber seit neuestem wieder auf eine Passwort gestützte Authentisierung (INPASS) zurückgreift.

Verbreitung

Bis 2009 wurden nach Angaben des Betreibers mehr als 120.000 Netpins vergeben. Allerdings wurde das Verfahren nur auf wenigen Internet-Portalen implementiert und konnte sich nicht gegen alternative Verfahren wie OpenID durchsetzen, sodass der Dienst im Oktober 2009 eingestellt wurde.

Vorteile

• Das Netpin-Verfahren kann anonym genutzt werden, da keine Personenidentifikation stattfindet. Voraussetzung ist die Verwendung einer anonymen E-Mail-Adresse.
• Phishing-Schutz.
• Flexible Einsatzgebiete.
• Besonders sicheres Double Opt-in bei der Netpin-Generierung.
• Extrem einfach in der Anwendung und damit für nicht IT-affine Nutzer geeignet.
• Einfache Integration in Webseiten durch vorkonfigurierten Code.

Nachteile

• Wie bei allen Identifikationslösungen, die auf einer vertrauenswürdigen zentralen Stelle beruhen, ist das Anwendungsgebiet auf solche Bereiche eingeschränkt, die dem Betreiber vertrauen können, hier also überwiegend der Bereich Verbraucherschutz und Unternehmens-/Kundenbeziehungen (B2C).
• Um das Verfahren für unbedarfte Anwender einfach zu machen wird ein einfaches Passwort (vierstellige Ziffer = Assoziation mit der Scheckkarte) verwendet. Um die Sicherheit zu wahren muss daher nach dreimaliger Fehleingabe die Netpin automatisch gesperrt und durch den Anwender neu generiert werden.

Siehe auch

• übergeordnet: Identitätsmanagement
• Opt-in
• Datenschutz
• Selbstdatenschutz
• Anonymität im Internet

Weblinks

• www.netpin.de