<< Themensammlung Netzwertig

Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

06.07.09Leser-Kommentare

Single-Sign-On: 2009 ist das Jahr des Durchbruchs

Einmal registrieren, überall Zugang kriegen: Single Sign-on über OpenID, Facebook oder Google verbreitet sich rasant. Jeder profitiert - außer die Onlineservices, die sich der Entwicklung verschließen.

LoginLange Zeit war einer der nervigsten Nebenaspekte der schönen bunten Social Web-Welt, sich bei jedem Dienst neu registrieren und eine weitere Benutzername-Passwort-Kombination merken zu müssen. Auch erforderte dies jedes Mal das erneute Eintragen von persönlichen Informationen und unter Umständen die manuelle Suche nach eigenen Kontakten, die den jeweiligen Service bereits verwenden.

Heute lässt sich mit großer Sicherheit sagen, dass diese Plagerei ein für alle Mal ein Ende gefunden hat. 2009 wird uns als das Jahr in Erinnerung bleiben, in dem Single Sign-on-Systeme ihren Durchbruch erlebten und eine wachsende Zahl von Startups und etablierten Webangeboten Mechanismen integrierten, die Usern den Login über die Schnittstellen anderer Internetdienste ermöglichten.

Interessanterweise war es nicht OpenID, welches die Entwicklung endgültig ins Rollen brachte. Obwohl sich die Unterstützer des bekanntesten aller Single Sign-on-Systeme über Jahre hinweg dafür eingesetzt haben, von den führenden Webunternehmen akzeptiert und implementiert zu werden, scheint es, als wäre erst mit dem Start von Facebook Connect richtig Bewegung in die Branche gekommen.

Mit der Mitte 2008 vorgestellten Initiative können Websites Besuchern den Login über deren Facebook-Zugangsdaten ermöglichen. Für Neunutzer entfällt damit die Notwendigkeit, sich ein weiteres Passwort merken zu müssen. Je nach Art der Integration lassen sich auch Profilinformationen übernehmen sowie Facebook-Kontakte anzeigen, die den entsprechenden Service auch verwenden.

Während OpenID die mühselige Vorarbeit geleistet und das Prinzip eines Universal-Logins über die Grenzen der eigenen Webangebote hinaus nach und nach in das Bewusstsein der Internetgemeinschaft pflanzte, war es Facebook als größtes soziales Netzwerk der Welt (außerhalb Chinas), das eine solche Lösung in den Mainstream transportierte.

Die Bandbreite von Facebook Connect-Implementierungen ist ein Jahr nach der Lancierung des Systems enorm: Von der Washington Post über DiGG und Hulu bis zu Vimeo bieten zahlreiche namhafte Onlinedienste ihren Nutzern den Zugang über Facebook und gleichzeitig unterschiedliche Zusatzfunktionalität. Auch für die Besucher der amerikanischen Red Bull-Site sowie für die Passagiere des Flughafens Calgary steht Facebook Connect bereit.

Doch nicht nur Facebook ist auf den Single Sign-on-Zug aufgesprungen. Googles Konkurrenz-Produkt heißt Friend Connect und findet sich nicht nur auf vielen Blogs wieder, sondern wird seit kurzem auch von Netlog verwendet, einem der größten europäischen Social Networks. Netlog-Mitglieder erhalten dadurch die Möglichkeit, sich auf anderen, über Google Friend Connect verbundenen Sites mit ihren Netlog-Zugangsdaten anzumelden.

Mit MySpace (MySpace ID) und Yahoo! mischen weitere große Services mit. Wie Google setzen deren Initiativen teilweise auf bestehenden Mechanismen wie OpenID und OpenSocial auf. Diese Verschmelzung und Kombination beduetet für den Endnutzer, dass er/sie sich keine Gedanken mehr darüber machen muss, was technisch im Hintergrund abläuft. Was zählt, ist der problemlose und simple Login. Das ist gut, war doch das etwas zu technische Image OpenIDs größtes Hindernis für den finalen Schritt in den Massenmarkt.

Vergessen sollte man auch nicht Twitter, das sich durch das offene Autorisierungs-Protokoll OAuth ebenfalls als Login-Alternative für externe Webtools empfiehlt. So verzichten eine steigende Zahl von Twitter-Applikationen auf eigene Benutzerzugänge und lassen ihre User direkt über Twitter einloggen. Besichtigen kann man dies unter anderem bei Twitpic oder dem sozialen Link-Aggregator Microplaza.

Bei Diensten aus dem deutschsprachigen Raum ist die Akzeptanz von Single-Sign-On-Lösungen - speziell von als Wettbewerbern wahrgenommenen Unternehmen - aufgrund des üblichen Silo-Denkens noch recht gering. Aber auch hier gibt es bereits erwähnenswerte Beispiele. So erlaubt das Social-News-Portal YiGG seinen Nutzern den Login über Facebook. Gleiches gilt für die Leser von Bild.de, die über Facebook Connect auf der Site kommentieren, im Forum diskutieren sowie Fotos und Videos hochladen können. Richtig vorbildlich ist der Musikdienst play.fm (unser Review). Die Wiener lassen dem User die Wahl zwischen einem Login über Facebook, MySpace, Google, Yahoo oder OpenID. Auch die Zahl unterstützer Anmeldeverfahren beim Hamburger Community-Anbieter sixgroups.com kann sich sehen lassen.

Man muss kein Hellseher sein, um zu ahnen, wohin die Reise geht: In den nächsten Wochen und Monaten werden weitere Anbieter den Zugang über die genannten Lösungen gestatten - und neben OpenID damit auch Facebook, Google & Co immer stärker zu Identitätsprovidern machen. Für User entfällt somit einiges an Aufwand, und Webservices senken so die Eintrittsbarrieren, die potenzielle Neunutzer vom Ausprobieren abhalten. Jeder profitiert - außer solche Unternehmen, die weiter ein geschlossenes Silo bleiben und Besucher zum Einrichten eines neuen, nur auf der eigenen Site gültigen Kontos zwingen wollen.

Ich habe meine Konsequenz gezogen und überlege mir bei neuen Diensten, die ich für die private Nutzung in Betracht ziehe und die keinen Login auf den genannten Wegen anbieten, sehr genau, ob ich ihnen eine Chance gebe. In den meisten Fällen tue ich dies nicht mehr.

[hide] [/hide]

Kommentare

  • Daniela

    06.07.09 (12:35:46)

    OpenID interessiert keine Sau, Facebook Connect auch nur Facebook User. Du gehst mal wieder nur von Powerusern aus... Und wenn ich ein "Silo" betreibe, warum soll ich da auch noch Facebook via Connect supporten? Wie stellst Du Dir den eine neue Community vor, wo Du Dich nicht komplett neu registrieren willst sondern nur mit OpenID schnell rein?

  • Martin Weigert

    06.07.09 (12:39:40)

    Geh doch einfach mal zu www.play.fm, klicke auf "Sign up", melde dich mit deinem Google-Konto (was du sicherlich hast) an und schaue, was passiert. Das ist nicht nur etwas für Poweruser.

  • Marco Ripanti

    06.07.09 (12:48:05)

    Hoffen wir mal das es so wird. Ich bin da ganz bei Dir, nur sollten wir nicht vergessen, dass auch ein yiid - Account die Türen öffnet. http://sixgroups.com/login/

  • Martin Weigert

    06.07.09 (12:55:42)

    Stimmt Marco. Aber da musst du schon noch ein bissl mehr für yiid trommeln :) Btw, gutes Beispiel, das mit sixgroups.com. Danke! Hab es noch im Artikel ergänzt.

  • Daniela

    06.07.09 (13:48:26)

    @Martin: Ähm wo ist da jetzt der Vorteil? Nach dem Login mit meinem Google-Acc kommt trotzdem ein Registrierung-Formular? :)

  • Martin Weigert

    06.07.09 (13:56:03)

    Das ist nur fakultative Information, du musst da nichts weiter ausfüllen. Und dir auch kein neues Passwort für play.fm merken. Du kannst jetzt also als vollwertiges Mitglied die Site nutzen und dich stets mit deinem Google Konto einloggen. Gib zu - selbst du müsstest da den Nutzen und den geringen Aufwand sehen ;)

  • Philipp Spethmann

    06.07.09 (14:31:28)

    @ Poweruser Diskussion oben: Deswegen versuchen wir allyve so einfach wie nur irgend möglich zu machen - praktisch Single Sign On für den normalen Menschen. @ Martin: Du kennst allyve doch: Hältst Du es für einfacher als Facebook Connect und Co, oder ist das Selbsttäuschung?

  • Sillium

    06.07.09 (14:48:38)

    Entweder übersehe ich etwas (?) oder TwitPic bietet eben _keine_ andere Möglichkeit des Logins, als mit Twitter-Username und -Passwort selbst. Ich verstehe unter den Vorteilen der OAuth-Anmeldung jedenfalls, dass ich gerade nicht diese Twitter-Credentials auf einer anderen Seite als Twitter selbst eingeben muss.

  • Martin Weigert

    06.07.09 (14:54:03)

    @ Philipp allyve hat wie andere Anbieter auch das Problem, dass Passwörter bei euch gespeichert werden. Das sehe ich persönlich nur als Zwischenlösung. Richtig sicher ist nur die Authentifizierung via OAuth über den jeweiligen Drittanbieter. Ihr könntet das natürlich bei den Diensten, die das unterstützen, so integrieren (sofern ihr es nicht schon getan habt) - und andere Dienste dazu überreden, z.B. im Rahmen von exklusiven Partnerschaften eine solche Schnittstelle für euch einzurichten. @ Sillium Stimmt. TwitPic diente lediglich als Beispiel dafür, wie Twitters Login-Prozess nun auch von Drittparteien eingesetzt werden kann. Da man TwitPic nur dann nutzt, wenn man twittert, ist es für diesen Dienst tatsächlich unnötig, noch andere Login-Wege zu unterstützen. Finde ich.

  • Philipp Spethmann

    06.07.09 (15:00:36)

    Hi Martin, sehe ich genauso. Dort, wo OAuth funktioniert (z.B. twitter, xing, hiogi) setzen wir es auch sehr gerne ein. Ich denke aber, dass zum einen für alle anderen Partnern und zum anderen für die User der Vorteil von SSO richtig klar wird, indem eine "anfassbare" Lösung (wie allyve sie anbietet) existiert. siehe https://www.allyve.com

  • mds

    06.07.09 (16:22:17)

    Single Sign-on ist toll – man muss nicht mehr x Benutzerkonten hacken, einmal genügt … :->

  • Philipp Spethmann

    06.07.09 (16:23:57)

    @ mds: Nee, nee, so läuft das nicht. Klar, wenn Phishing erfolgreich ist, dann ja. Aber Serverhacking in der Nacht: Nope - dank asymmetrischer Verschlüsselung (siehe PGP).

  • Carsten Pötter

    06.07.09 (19:32:35)

    @Philipp: Mit allyve seit ihr auf dem Holzweg. Kann zwar sein, dass ihr erfolgreich sein werdet, aber ihr erzieht die Nutzer in die falsche Richtung. Wie soll denn jeder andere Dienst, jede Bank ihren Nutzern klar machen, dass es nicht unbedingt eine gute Idee ist, die Passwörter bei einem Drittanbieter anzugeben? Da könnt ihr 1000 mal sagen, dass die ganz toll verschlüsselt sind und ihr ein super tolles TÜV Zertifikat habt. Und nur mal Interesse halber: wie übertragt ihr denn die bei euch gespeicherten Passwörter an den jeweiligen Dienst? Da müsst ihr zuvor entschlüsseln, oder? Und wie verwendet ihr OAuth? OAuth soll einen Drittanbieter autorisieren, bestimmte Daten eines Dienstes zu verwenden. Das ist kein SSO. Oder kann ich mich so bei Xing einloggen (weiß ich nicht, habe keinen Xing Account)? Und was ist an allyve überhaupt SSO? Das müsste dann schon mal jemand neu definieren. Vielleicht ist es ein Passwortmanager, aber nicht SSO. Ich möchte allyve nicht völlig hier herunter schreiben, aber allyve geht in die falsche Richtung was die Sensibilisierung der Nutzer gegenüber Phishing anbelangt.

  • Philipp Spethmann

    06.07.09 (21:00:19)

    @ Carsten: Vielen Dank für Dein Kommentar. Mir ist übrigens klar, dass ich IMMER ein hohes Risiko eingehe, wenn ich mich mit allyve zu einem solchen Thema äußere. Warum? Weil die Diskrepanz zwischen den technisch versierten Nutzen und dem Otto-Normalverbrauchen dramatisch groß ist. Zur Sicherheit: allyve kann das Leben sogar sicherer machen!!! Frag mal Internetunternehmen, wie viele Unique User im Vergleich zu Unique Passwords sie haben - Ergebnis: Sehr häufig sind die Passwörter nutzerübergreifend identisch. Hinzu kommt, dass viele User eh auf allen Seiten die identischen Passwörter, wie mausi2009, verwenden (möglichst einfach zum guten Merken). Die geführte Sicherheitsdebatte geht vollkommen an der Alltagsrealität der Internetnutzung vorbei. Wenn Du allyve nutzt, kannst Du zumindest überall richtig schön komplizierte PW wählen, sie auf allyve eintragen, die für allyve noch ein kompliziertes PW merken - un bist damit faktisch sicherer unterwegs als zuvor. Und klar will allyve auch zum Thema Sicherheit erziehen / sensibilisieren: Du sollst ja eben drauf achten, ob z.B. die Sicherheitszertifikate "echt" sind und das Unternehmen seriös ist. Zum Thema SSO und allyve: allyve ist ein lupenreines Frontend SSO System - aber darüber können wir uns sonst gern auch per E-Mail austauschen. Zum Thema OAuth: Auth steht für beide Auths. Ob Du nun autorisiert wirst, um Daten anzuzeigen, oder Dich einzuloggen - beides ist doch technisch vergleichbar (die Identifizierung und Berechtigung zur und Durchführung einer Handlung). OAuth und Einloggen - klar geht das. Melde Dich doch mal auf allyve an (is sicher (-: ) und richte Dir ein hiogi Widget ein. Viel Freude wünscht Philipp

  • mds

    06.07.09 (22:14:27)

    @Philipp Spethmann: @ mds: Nee, nee, so läuft das nicht. Klar, wenn Phishing erfolgreich ist, dann ja. Aber Serverhacking in der Nacht: Nope – dank asymmetrischer Verschlüsselung (siehe PGP). Falls Dir ernst ist, mit Eurer Sicherheit, solltest Du einen Geldbetrag für das Hacken Eurer Infrastruktur aussetzen – dann sehen wir weiter … was ich aber meinte und zwar unabhängig von Eurem Angebot, das ich erst durch Deinen Kommentar kennenlernte, ist die Problematik von Single Sign-on als Single Point of Failure. Wenn Du allyve nutzt, kannst Du zumindest überall richtig schön komplizierte PW wählen, sie auf allyve eintragen, die für allyve noch ein kompliziertes PW merken – un bist damit faktisch sicherer unterwegs als zuvor. Dafür verwende ich einen lokalen Password Manager. Aber mal sehen, ich werde Allyve gerne ausprobieren … :)

  • Bernd Jungfer

    06.07.09 (22:56:31)

    Hallo, hat jemand Erfahrung mit solchen single-sign-on Geschichten für Onlineshops. Kann mich nicht erinnern sowas schon mal gesehen oder genutzt zu haben. Würde doch aber genauso Sinn ergeben und den Einkauf erleichtern. Oder bin ich hier auf dem Holzweg?

  • Carsten Pötter

    07.07.09 (00:42:38)

    @Philipp: Nein, das "Auth" in OAuth steht ausschließlich für "Authorization". Deshalb sind die blöden "Login with Twitter" Buttons auch selten dämlich. Im Gegensatz zu OpenID ist OAuth auch schon deshalb kein SSO, weil das Login immer nur für einen Dienst funktioniert. Entwickler eines Drittanbieters (Consumer) müssen sich immer vom jeweilgen Dienst (OAuth Provider) die jeweiligen Consumer Keys und Consumer Secrets besorgen. Angenommen neben Flickr würden auch Delicious und Last.fm OAuth unterstützen und ich wollte als Consumer Zugriff auf die Bilder bei Flickr, die Bookmarks bei Delicious und die Playlists bei Last.fm haben wollen, benötigte ich von allen drei Diensten die jeweiligen Keys und Secrets. Meine Nutzer müssten dann auch in allen drei Fällen der Autorisierung zustimmen. Eine Anmeldung bei anderen Anbietern ist nicht möglich. Klingt irgendwie nicht nach SSO. Wenn Du allyve als SSO Frontend sehen möchtest: bitte. Dann sind aber Keepass, 1Password, Passpack,.. das auch. Passwortmanager halt. @Bernd: Ja, SSO mit z.B. OpenID bei Shops würde durchaus Sinn ergeben. Du würdest kein Passwort mehr benötigen und im Idealfall müsstest Du auch nicht mehr Deine Adresse beim Shop eingeben, weil die direkt von Deinem OpenID Provider übertragen wird. Zudem wäre es nicht notwendig, dass der Shop die Adresse speichert, weil er sie bei jeder Anmeldung von Dir mit OpenID direkt von Deinem OpenID Provider ohne Dein Zutun wieder abfragen könnte.

  • Oh mann....

    07.07.09 (05:56:03)

    Soso.... wir erinnern uns, dass 2007 oder war es 2008, das Jahr der Applications werden sollte (Facebook Apps, Google Open Social etc). Es gab damals ganz große Prophezeiungen hier auf netzwertig. Ist dann wohl doch nicht so eingetreten - schlimmer noch, die Idioten Programmierer, die sich für Facebook-Apps hergegeben haben, schauen jetzt in die Röhre. Sie haben ihren Teil geleistet, um Facebook populär zu machen und verweilen jetzt ein Schattendasein. Viel wichtiger sind jetzt "Realtime/Lifestream/Twitter Funktionalitäten" Applications sind jetzt irgendwo in einem Tab entsorgt verschoben worden. Was passiert denn, wenn Facebook & Co. auf einmal wieder das Interesse verlieren, weil ein neuer Hype gerade wichtiger ist, oder falls ein neues "nächstes große Ding" kommt und Facebook nur mehr zum Loginverwalter wird? Was ist, wenn Facebook pleite geht und sich kein Nutzer mehr anmelden kann. Oder wenn Facebook einen Vertrauensverlust erleidet, sich viele Nutzer abmelden - gleichzeitig sich aber damit nicht mehr bei anderen Diensten anmelden können? Einen unabhängingen Dritten wir OpenID würde ich ja noch einsehen. Aber Facebook??

  • Oh mann....

    07.07.09 (06:22:25)

    Ergänzend noch ein paar Schmankerl aus den Facebook Terms bzgl. FB Connect: - We can limit your access to data. - We do not guarantee that Platform will always be free. - We can analyze your application, content, and data for any purpose, including commercial (such as for targeting the delivery of advertisements and indexing content for search). - We can create applications that offer similar features and services to, or otherwise compete with, your application. Letzteres haben sie bei Facebook Apps auch gemacht. Ergo... wenn man ein kleiner Fisch ist hat man Glück gehabt. Wenn man zu erfolgreich ist, wird man kopiert und ausgesperrt. Na das sind doch Aussichten - weiter so pushen Netzwertig!!

  • Martin Weigert

    07.07.09 (08:42:18)

    @ oh mann Deshalb habe ich im Artikel ja auch play.fm und sixgroups.com erwähnt - je mehr unterschiedliche Login-Wege ein Dienst anbietet, desto geringer das Risiko, dass durch den Wegfall von einem sich eine große Zahl von Usern plötzlich nicht mehr einloggen können (davon abgesehen wird ja dennoch ein persönliches Konto beim jeweiligen Anbieter gespeichert, d.h., selbst wenn Facebook Connect plötzlich verschwinden sollte, kann dies von Seiten des betroffenen Services gelöst werden - so sollte es jedenfalls sein). @ Carsten Naja wenn ich aber zu sixgroups.com gehe und mich dort mit Hilfe meines Twitter-Logins anmelde, dann fühlt sich das für mich als Nutzer aber schon stark nach SSO an. Und darum geht's ja letztlich.

  • Anonym

    08.07.09 (15:25:55)

    Sehr schöner Artikel. Single Sign-on ist wirklich eine entlastende Verbesserung in der Sozialen Netzwelt. Übrigens: Auch myON-ID ist OpenID-Provider und Relying Party für Single Sign-on. TIPP: Als Premium Nutzer profitiert man bei myON-ID noch von einem weiteren Vorteil, da die individuelle Profil-URL ebenfalls als Open-ID verwendbar ist und somit viel einprägsamer ist. So könnte sie aussehen: vorname-nachname.de. Mehr Info dazu auf dem Blog (Edit: Name geändert, bitte Kommentarregeln beachten)

  • Torsten

    08.07.09 (22:08:10)

    Ich glaube an Weave in Verbindung OpenID. Zumindest für Firefox-Nutzer! Technisch für mich auf jeden Fall die eleganteste aller Lösungen. Und ich nutze es bereits :-) http://www.golem.de/0905/67024.html

  • Mario Grobholz

    09.07.09 (10:03:08)

    Interessante Diskussion hier. Ich wundere mich auch immer wieder, wieviele Dienste und natürlich auch deren Nutzer ihre persönlichen Zugangsdaten zu ihren E-Mail Postfächern oder neurdings auch zu ihrem Twitter Account diesen Diensten anvertrauen. Ob dieses nun ein börsennotiertes Unternehmen (Bsp. Xing) oder ein Start-Up (Bsp. Allyve) ist macht da kaum einen Unterschied. Chris Messina äußerte sich hierzu einmal so: "Passwords are not Confetti - so don’t throw around with them!" Siehe hierzu ein Artikel über "Delegated Autorization". Ich beobachte hier jedoch einerseits bei den Nutzern, als auch bei den Betreibern ein Umdenken. Nutzer sind lange nicht mehr so blauäugig und lassen ihr GMX- oder WEB.DE-Adressbuch auslesen um vielleicht festzustellen, dass der ein oder andere Kontakt sich bei Xing aufhält. Und auf der anderen Seite sehe ich zunehmend mehr Dienste die eine sichere Autorisation unterstützen. Das mag natürlich stark mit den Bestrebungen von Facebook, Google, ... Twitter zusammenhängen das eigene System als SSO Standard zu etablieren. Am Ende proftiert hierbei aber der Nutzer. By the way, wir bieten bei myON-ID auch die Möglichkeit an deine Freunde zu finden die ggf. nocn nicht bei myON-ID sind. Wir setzen hierbei jedoch komplett auf OAuth und syncen nur mit Diensten die das unterstützen. Das sind bei uns derzeit Google, Yahoo und Twitter. Sieht dann nach weniger aus, als wenn ich die das mal bei Xing anschaue, aber es ist deutlich sicherer. Als OpenID Provider und Reyling Party ist myON-ID damit gut vorbereitet für den von Martin beschrieben Durchbruch. Ob das nun in 2009 oder später erfolgt ist uns eigentlich unwichtig. Die Grundlagen sind in jedem Fall vorhanden. Wer will kann das gerne mal testen und uns Feedback geben bzw. den Austausch mit uns suchen. Die ersteb bekommen von mir einen Premium Account geschenkt. Damit erhälts du eine Profil URL und damit OpenID bspw. im Stile von vorname-nachname.de

  • Pluspol

    09.07.09 (11:21:53)

    Warum bieten facebook, google, myspace etc. wohl SingleSign-On an? Ob das immer im gegenseitigen Intersse ist, möchte ich stark bezweifeln und wer kann schon prüfen wie mit den mehr oder weniger vollständigen Personedaten- und Profilen umgegangen wird, besonders bei Betreibern im Ausland, wenn nicht mal inländische Großunternehmen den Datenschutz ernst nehmen. Eine sichere und nutzergesteuerte Alternative sind Zugangstooken. Vielleicht adaptiert die Community ab Ende 2010 dafür den sicheren und gegenseitigen elektronischen Identitätsnachweis mit dem neuen Personalausweis???

  • Mario Grobholz

    09.07.09 (11:26:31)

    Absolute Zustimmung. Nur musst Du gar nicht bis ins Ausland gehen, wenn auch deutsche Anbieter die Adressdaten speichern und dann für werbliche Zwecke einsetzen. Token wären natürlich eine sehr sichere Lösung und vielleicht auch für die Zukunft ein Thema. Technisch ist das für einen OpenID Provider einfach zu lösen. Nur, die Token´s kosten Geld (wer zahlt das?) und erfordert wieder etwas mehr Verständnis beim Nutzer (hat er dazu Lust und dien Fähigkeit?)

  • Daniel

    09.07.09 (18:03:01)

    Ich persönlich finde das Open ID ne ganz geile Sache ist in der theorie, jedoch ne riesige Sicherheitslücke hat, ist das eine Passwort mit dem Nutzernamen bekannt hat man Zugriff auf alles , daher ist eben Vorsicht geboten und ein sehr komplexes Passwort zu nutzen. Ich finde auch das noch viel zu wenig Seiten dieses System nutzen und daher kann es noch nicht effektiv genutzt werden, meiner Meinung nach zumindest :) Aber sonst ne ganz nette Sache

  • Carsten Pötter

    09.07.09 (18:20:02)

    @Daniel: Je nach OpenID Provider benötigst Du kein Passwort. Du kannst Browserzertifikate, Information Cards, Signaturkarten,... zum Einloggen nutzen. Zugegeben ist die Zahl der Provider, die diese Möglichkeiten anbieten eher klein.

  • gRaVuR

    13.07.09 (11:44:03)

    Danke für diesen Artikel. :-) Schaut Euch auch den Web-Navigator von WEB.de & GMX.de an. Mit ca. 20 Millionen Nutzern sind diese Anbieter auch gut dabei!

  • Matthias

    19.07.09 (22:31:42)

    Single-Sign-On ist natürlich für den Enduser eine sehr schöne Sache. Aber da vermtl. niemand dieser User sein Passwort so sicher wählt, reicht einmal hacken um sich überall anzumelden. Für den Betreiber eines neuen Dienstes, könnte es sogar Gefahren mit sich bringen wenn man solche Dienste integriert. Es werden bei den Betreibern sicher Statistiken geführt, wie viele Nutzer sich bei einer Seite anmelden. Nimmt diese Zahl stetig zu und überschreitet sie vielleicht ein intern definiertes Limit, wird da bestimmt die eine oder andere Warnlampe angehen. Gefällt die Idee, wird sie schlicht und ergreifend nachgebaut. Da diese Unternehmen über ganz andere Ressourcen verfügen, wird der "Nachbau" meist besser als das ursprüngliche Produkt und weil jeder diese Namen kennt auch besser frequentiert. Ende vom Lied, man wurde ausgebootet...

  • Carsten Pötter

    19.07.09 (23:05:13)

    @Matthias: Abhängig vom SSO System und Provider ist kein Passwort notwendig (s. meinen Kommentar weiter oben). Glaubst Du ernsthaft ein Provider wie Google oder Yahoo! würde sich Dienste anhand der evtl. dort geführten Zugriffsstatistiken anschauen und überlegen, das ein oder andere Feature nachzubauen? Es muss erst einmal in das Produktportfolio passen und wenn die Idee des anderen Dienstes dann immer noch so überzeugend ist, wird er gekauft. Aber diese Entscheidung hängt bestimmt nicht von Zugriffsstatistiken ab.

  • Mario Grobholz, myON-ID

    19.07.09 (23:12:41)

    @Matthias: diese Befürchtung halte ich auch für unbegründet und stimme Carsten voll zu. Viel eher und wesentlich interessanter wäre eine Auswertung von Analytics durch Google zu genau diesem Zweck. Nachdem schätzungsweise 90% aller Startups weltweit das Google Website-Tracking verwenden lassen sich da viel spannendere Informationen gewinnen. ;-(

  • Lexus

    25.07.09 (10:19:47)

    Genau darum ist Google Analytics in Deutschland auch datenschutzrechtlich unzulässig, es sei denn der Seitenbesucher hat vorher seine Einwilligung für die Speicherung seiner IP-Adresse in den USA gegeben. Das geht aber nicht, weil ja der Besucher bereits auf der getrackten Seite ist, es müsste also für jede analysierte Seite zuvor eine spezielle Landingpage vorhanden sein. Ich bin immer wieder erstaunt, wenn ich mir Quelltexte von Seiten ansehe, wie frech Google-Analytics ohne jeden Hinweis an den User benutzt wird, selbst von denjenigen, die in Blogs sich über Datenschutz verbreiten. So auch auf dieser Seite. Beschämdend! Dafür gibt es Tracking-Tools, die keine IP-Adressen speichern. Wenn jemand einen Google-Account hat, dann ist er unschwer persönlich auf jeder fremden Seite zu identifizieren.

  • Martin Weigert

    27.07.09 (17:53:32)

    Ich muss die Kommentare leider wegen anhaltender Spam-Attacken schließen.

Diesen Beitrag kommentieren:

Die Kommentare können nur zwischen 9 und 16 Uhr
freigeschaltet werden. Wir bitten um Verständnis.

Um Spam zu vermeiden, schreiben Sie bitte die Buchstaben aus diesem Bild in das nebenstehende Formularfeld:

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer