„Information Card" ist ein offener Standard zur sicheren Authentisierung im Internet. Information Cards ersetzen den klassischen Anmeldeprozess mit Bennutzername und Passwort durch eine innovative Technologie, die es dem Nutzer ermöglicht seine digitalen Identitäten selbst zu verwalten und mit höchster Sicherheit an verschiedensten Akzeptanzstellen im Internet einzusetzen.

Es gibt zwei verschiedene Arten von Karten:

• Selbst ausgestellte Karten (self-issued card, auch self-asserted card genannt)
• Verwaltete Karten) (managed card)

Eine Karte besteht allgemein immer aus:

1. einem eindeutigen Identifikator
2. eigenen Informationen (Claims) wie etwa Postadresse 3.
3. einem PKI-Zertifikat für den lokalen Account (self-signed)
4. einem Zertifikat, das von der CA der ausstellenden Instanz unterzeichnet ist

In den ersten Versionen von CardSpace konnte der Dienst nur mit SSL-Zertifikaten genutzt werden. Da aber Zertifikate für den privaten Gebrauch in Weblogs und Online-Communitys eine zu große (oft auch wirtschaftlich) Hürde darstellt, ist es ab Version 3.5 nun möglich CardSpace auch ohne SSL-Zertifikat zu nutzen.

Selbst ausgestellte Karten

Selbst ausgestellte Karten kann man, wie der Name schon sagt, sich selber ausstellen. Die selbst ausgestellten Karten enthalten einen festgelegten Satz von Attributen (Claims genannt) wie z. B. (Vor- und Nachname, E-Mail-Adresse, Postanschrift,…). Für die meisten Fälle reichen selbst ausgestellte Karten aus. Die Analogie zur Benutzername/Passwort-Kombination liegt auch hier nahe, da man sich diese meist auch frei wählt. In Unternehmen möchte man aber evtl. sicherstellen, dass nur Mitarbeiter Zugang zu bestimmten Bereichen haben, für diesen Fall gibt es die verwalteten Karten.

Verwaltete Karten

Verwaltete Karten können beliebige Attribute (Claims) enthalten. Diese legt die ausgebende Instanz (Identity Provider, z. B. ein Unternehmen oder eine Behörde) fest. Beispielsweise kann ein Unternehmen den Claim »Abteilung« festlegen, so dass nur die Personalabteilung auf den Bereich Bewerbungen innerhalb eines Unternehmens Zugriff erhält. Auch denkbar wären Karten eines Staates, welche einem das Geburtsdatum und daraus abgeleitet das Alter des Besitzers versichern, so dass man z. B. Filme im Onlineshop, ohne einen zusätzlichen Altersnachweis (vergleiche Postident-Verfahren) erbringen zu müssen, bestellen könnt