Nun, die Passwörter dienen dazu, dich einmal bei dem genannten Dienst zu verifizieren. So wird sicher gestellt, dass das von dir angegebene Profil auch wirklich deines ist.

Die Alternative wäre nie sicher zu sein, ob der Gegenüber auch die vorgegebene Person war bzw. die Sicherheit, dass niemand deine eigenen Profile mißbraucht.

Als Workaround würde ich vorschlagen, Du setzt einfach ein temporäres Passwort für die Services die Du hinzufügen möchtest und änderst es gleich danach wieder auf Dein altes zurück nachdem Du Dich bei PokenDotWhereverDotCom “authorisiert” hast. Sollte doch gehen oder?

Hm, ich frage mich allerdings auch was man dort eingeben soll wenn man z.B. OpenID nutzt… in der Tat sehr seltsames Sicherheits-Konzept bei diesem PokenDingens…

Ok, dann spar ich mir das … hatte überlegt ein 12er Pack zu kaufen und dann ein paar hier in MUC an Interessierte weiterzuverticken, aber sowas ist inakzeptabel.

Der Hintergrund ist natürlich klar: sie wollen verhindern, dass sich die Leute als Brittney Spears ausgeben und das ueber ihre POKEN propagieren.

Die saubere Lösung wäre wahrscheinlich dass sie sich einen Account in allen Social Networks organisieren und dann per “private message” den Leuten IDs zuschicken, die sie bestätigen müssen.

Was für den Anwender jetzt immer noch geht ist natürlich:
Passwort ändern -> POKEN Authentifizieren -> Passwort ändern

Kann man denn wenigstens z.B. auch 3 oder 3 twitter Accounts “hinzufügen” oder geht jedes SN nur ein mal?

“Hm, ich frage mich allerdings auch was man dort eingeben soll wenn man z.B. OpenID nutzt… in der Tat sehr seltsames Sicherheits-Konzept bei diesem PokenDingens…”

Poken nutzt bei facebook z.B. facebook Connect. oAuth wird gerade implementiert, allerdings bieten nicht alle Social Networks diese Form der Authentifizierung.

Hehe, witzig…
Die Begründung ist vor allem interessant. Die Dinger sollen doch die Visitenkarten ersetzen, oder?
Wer hat denn bisher kontrolliert, ob die Webseite, die ich auf meiner altertümlichen Visitenkarte angebe, auch wirklich mir gehört?!
Und was ist aus dem Grundsatz geworden “Wir werden sie niemals nach ihrem Passwort fragen.”?
Wo soll das nur enden…

e – http://www.hellomynameise.com gefällt mir deutlich besser als poken, will allerdings auch Passworte von anderen Diensten wissen. (Und man kann derzeit noch nicht mal über https zugreifen.) An der oAuth-Unterstützung wird auch hier noch gebastelt.

Nennt mich altmodisch, aber …

PayPal zum Beispiel nimmt eine zufällige Testabbuchung mit einem bestimmten Text vor, diese beiden Daten gibt man dann bei PayPal wieder ein und die Verifikation des Zahlungsmittels als zu dem, der die Daten eingegeben hat, wird vollzogen.

ENUM-Dienste haben/hatten einen Mechanismus, der einen Anruf auf der angegebenen Rufnummer vornimmt, ein Secret durchsagt, dieses war dann beim Dienst zur Verifikation anzugeben.

WLAN-Hotspots übertragen teilweise One-Time-Passwords per SMS auf eine angegebene Handynummer zwecks Abrechnung über jene Rechnung.

Kurz: es gibt ganz, ganz, ganz sicher Myriaden von Möglichkeiten, eine Verifikation durchzuführen _ohne_ Zugang zu einem Dienstkonto bekommen zu müssen. Gut, das wäre ggf. mit Aufwand verbunden, schlecht für ein schnelles Startupping …

Insofern stellt sich auch mir klar die Frage: »Unglaublich. Und das machen die Leute tatsächlich mit?« Zumal die simple Technik, siehe Video von gestern auf blogdoch.net, durchaus nicht immer wie erwartet funktioniert. Visitenkarten verliert man vielleicht, aber unter normalen Umständen verweigern sie nicht die Informationsfreigabe, nur weil innerhalb n Minuten schon einmal jemand diese abgerufen hat …

Und all diese Authentifizierungsmethoden müsste nicht nur Poken vorschlagen, sondern die großen Social Networks auch mitmachen, dass man sich so auch authentifizieren kann. Es liegt folglich weniger an Poken, sondern an der Tatsache, dass nur wenige Social Networks bisher solche Methoden anbieten.

facebook zum Beispiel bietet so etwas an und wird von Poken auch genutzt.