<< Themensammlung Netzwertig

Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

03.12.07Leser-Kommentare

OpenID - Was bringt es?

Es gibt wohl kaum jemanden, der nicht hin und wieder vor Logins von Webseiten steht, von denen man zwar dunkel in Erinnerung hat, dass man sich irgendwann mal dort registriert hat, sich aber partout nicht mehr an den Benutzernamen und das Passwort erinnern kann ("war es jetzt mausibaerli22 oder doch schnuckihasi32?").

Gegen die Flut an Passwörter helfen sogenannte Single-Sign-On-Systeme, welche auf "ein Login für alles" setzen und nun scheinbar auch bei Webdiensten allmählich Verbreitung finden. Dabei setzt sich das von Brad Fitzpatrick entwickelte OpenID-Protokoll immer mehr als Quasi-Standard durch - vor wenigen Tagen erst war auf Techcrunch zu lesen, dass mittlerweile sogar schon Google mit OpenID experimentiert, nämlich auf deren hauseigenem Blogdienst Blogger.com. Dort ist es bald vielleicht schon möglich, sich für die Kommentarfunktion per OpenID zu identifizieren. Ebenso hat der französische Mobilfunkanbieter Orange im September mit der Ankündigung aufhorchen lassen, seinen mehr als 40 Millionen Kunden künftig als OpenID-Provider zur Verfügung zu stehen - auch wenn sich diese Meldung bei genauerer Betrachtung als weit weniger spektakulär herausstellt als sie zunächst klingt. Zeit dennnoch für zweinull.cc, OpenID genauer unter die Lupe zu nehmen. Das Prinzip

 

Die Qual der Wahl bei Ma.gnolia: Herkömmliches Login oder Anmeldung per OpenID bzw. Facebook?

Das Konzept von OpenID an sich ist relativ einfach: Man besorgt sich eine OpenID bei einem der vielen Anbieter (siehe Links am Ende dieses Artikels), indem man sich dort auf herkömmliche Art und Weise registriert. Anschließend erhält man eine URL (zB irgendwer.myID.net), welche fortan die persönliche OpenID-Kennung darstellt. Wer einen Domain-Namen registriert hat, kann sogar diesen als OpenID-Kennung verwenden, indem er im Header der HTML-Datei seine OpenID-URL sowie seinen Provider angibt. Somit behält man seine Identifikation selbst dann noch, sollte man mal den Anbieter wechseln.

Doch was macht man nun mit dieser URL? Ganz einfach: Wenn man sich bei einem Webdienst anmelden möchte, so gibt man fortan anstelle seines Benutzernamens und Passwortes nur noch die persönliche OpenID-URL an. Klickt man auf weiter, wird man zu seinem OpenID-Dienstanbieter weitergeleitet. Hier muss man sich jetzt einloggen und bestätigen, dass man Daten an die Seite übermitteln möchte, von der man kommt. Somit nimmt die Identifizierung eines Users nicht mehr der eigentliche Webseiten-Betreiber vor, sondern der OpenID-Provider. Hat man sich bei diesem erfolgreich authentifiziert, dann wird man von der OpenID-Webseite wieder zum ursprünglichen Angebot weitergeleitet - mit der Bestätigung, dass die Anmeldung erfolgreich war. Dabei werden während des gesamten Vorganges werden keinerlei Passwörter übertragen. Natürlich kann man das Login beim OpenID-Provider per Cookie permanent speichern, so dass man nur die URL anzugeben braucht und alles weitere dann automatisch geschieht.

Dass man in der Wahl seines OpenID-Anbieters frei ist, stellt einen der großen Vorteile des Systems dar. Die Daten aller Nutzer liegen somit nicht zentral bei einem Anbieter, sondern sind über die vielen einzelnen Services verstreut. Dazu muss man allerdings auch sagen, dass sie das bei der herkömmlichen Methode (individueller Login für jede Seite) ja bisher auch schon immer getan haben. Zudem ist anzunehmen, dass sich ein Großteil der Logins wahrscheinlich dann doch wieder auf einige wenige Anbieter konzentrieren wird.

Ebenfalls konnte ich es nicht bestätigen, dass man sich mit OpenID mühselige Registrierungen erspart. Bei einem kurzen Test einiger OpenID-fähiger Webseiten musste ich letztendlich doch immer noch einige zusätzlich Daten herausrücken, um an ein Profil zu gelangen - allerhöchstens um die E-Mail-Authentifizierung kommt man herum und einige Daten wurden automatisch übernommen. Insgesamt gibt es vom Ablauf her bei vielen Anbietern daher kaum einen Komfortgewinn. Für den Normalanwender stelle ich es mir zudem etwas verwirrend vor, wenn man ihn plötzlich auf eine komplett andere Seite schickt, als von der er kommt.

Sicherheitsgewinn?

Ein weiterer, sehr gravierender Nachteil ist in meinen Augen, dass man gleich den Zugang zu mehreren Webseiten offen legt, sollte es jemanden gelingen, sich Zutritt zu seinem OpenID-Account zu verschaffen. Man stelle sich nur mal folgendes Szenario vor: Ein Großteil aller Internetnutzer verwaltet seine Zugänge für die wichtigsten Websites mittels OpenID. Der größte Teil der Nutzer entfällt dabei auch noch auf einige wenige, große Anbieter (wie myopenid.net und claimid.com). Das würde Phishern die Arbeit sehr erleichtern: Mit einer groß angelegten Kampagne kann man gleich die Zugsangsdaten mehrere Websites einsammeln.

Auch die oben erwähnte Weiterleitung von einer eigenen Domain sollte man nur mit äußerster Vorsicht genießen. Bei einem Test war es für mich ohne Probleme möglich, mich von einem fremden Rechner in meinen ma.gnolia Account einzuloggen, indem ich einfach auf meinem Webserver die URL des Providers ausgetauscht habe und mich dann über einen fremden OpenID-Provider authentifiziert habe - und das obwohl ich sogar eine falsche E-Mail-Adresse und Benutzernamen übermittelt habe! In der Praxis könnte sich so jeder, der sich Zugriff auf den Webserver verschafft und die Provider-URL austauscht, auf allen Webseiten anmelden, die dieser OpenID zugewiesen sind. Ich weiß allerdings nicht, ob dieser Lücke nur ma.gnolia im Speziellen betrifft oder eine generelle Schwachstelle darstellt.

Aussichten

Für Firefox 3 war eine integrierte OpenID-Unterstützung vorgesehen, allerdings ist diese im Mozilla-Entwickler-Wiki derzeit mit "At risk" markiert und die Umsetzung somit fraglich. Indessen arbeitet das Entwicklerteam von OpenID bereits an der Version 2.0 des Protokolls, welche laut dem englischsprachigen Wikipedia-Artikel auf Yadis basieren wird und über die reine Authentifizierung hinausgehende Dienste anbieten wird.

Fazit

Ich muss sagen, dass mich OpenID derzeit nicht überzeugen kann. Weder bringt es mir einen signifikanten Sicherheits- noch einen Komfortgewinn. Ich jedenfalls fühle mich derzeit mit meiner Taktik, für alle Webseiten unterschiedliche, zufällige Passwörter zu verwenden und diese im Passwort-Mananger samt Masterpasswort von Firefox zu verwalten, wesentlich sicherer - Immerhin liegen so die Zugangsdaten auch verstreut im Netz (Wer meinen Facebook-Account knackt, hat damit längst noch nicht Zugriff auf meine Google-Mails). Auch hat mich OpenID nicht davor bewahrt, kaum noch lesbare Captchas entziffern zu müssen. Für mich bleibt's somit vorerst beim Login 1.0 ;)

Links

OpenID-Provider (Auswahl)

- www.myopenid.com - Bietet komfortable Verwaltung mehrer Profile

- www.myID.net - Eher rudimentärer Dienst

- claimid.com

Lesenswerte Blog-Beiträge

- OpenID - Besser einloggen! auf corepluse.de

- OpenID bei Ortwin Kartmann

Sonstiges

- Verzeichnis OpenID-fähiger Webseiten

- Kostenloses (etwas auschweifendes) E-Book zu OpenID

Dieser Beitrag wurde ursprünglich im Blog zweinull.cc veröffentlicht. Im Mai 2008 wurden zweinull.cc und netzwertig.com zusammengeführt.

Kommentare

  • neon

    03.12.07 (01:29:52)

    Ich kann nicht viel dazu sagen, aber ich stimme dir in deinem Fazit zu. OpenID ist auch für mich kein sonderlich großes Thema, eigentlich gar keins.

  • Gründernet

    03.12.07 (12:13:39)

    ... sehe ich auch so, Risiko und Zeitersparniss (wenn überhaupt vorhanden) stehen in keinem Verhältnis. Ein Dienst den die Welt (in der Form) nicht braucht. VG, René

  • Stefan

    03.12.07 (13:53:43)

    So etwas wie OpenID braucht in Deutschland leider eine Ewigkeit bis es sich durchsetzt, was aber generell sehr zu bezweifeln ist. Man schaue sich nur PayPal an: in Amerika absoluter Standard, wirst du hierzulande eher schief angeschaut, wenn du den Namen "PayPal" erwähnst, weil es nur die wenigsten normaler Nutzer kennen.

  • neon

    03.12.07 (15:54:01)

    Wobei das bei PayPal echt schade ist, denn PayPal ist meiner Ansicht nach eine super Sache. Sofern möglich mache ich alles mit PayPal, ich liebe den Dienst ;) Aber in Sachen Durchsetzungschancen in Deutschland muss ich dir absolut beipflichten, Stefan. Irgendwie scheinen die Deutschen da etwas konservativer eingestellt zu sein, was dem Technologie-Fortschritt hier zu Lande natürlich einen starken Dämpfer versetzt. Leider.

  • ikonos

    03.12.07 (16:00:23)

    Hi, mal ne kurze Frage zum Ablauf also ich gebe meine OpenID URL an, werde dahin weitergeleitet, dort logge ich mich ein. Was passiert dann genau? Wie wird mein Login dem eigentlichen Service, den ich nutzen will mitgeteilt? Über irgendwelche Get-Variablen in der URL oder wie muss man sich das vorstellen? ikonos

  • Michael Osl

    03.12.07 (16:11:25)

    @Stefan und @neon: Ich kann euch nur beipflichten, hier zu Lande scheint die Hemmschmelle neuen Diensten gegenüber tatsächlich sehr viel höher zu sein als anderswo. Ich persönlich versuche, das reflexartge "Brauch ich nicht" nach Möglichkeit zu vermeiden, wenn ich einen neuen Dienst sehe und ihn ausprobiere. Nur leider muss ich bei OpenID wirklich sagen, dass ich in dem Dienst in seiner derzeitigen Form für mich persönlich keinen herausragenden Zusatznutzen entdecken kann. Dies kann natürlich ganz anders aussehen, wenn der Service weiterentwickelt wird und irgendwann Features bietet, die einen wirklichen Komfortgewinn versprechen.

  • Michael Osl

    03.12.07 (18:03:27)

    Genau - man wird zu seinem OpenID-Provider weitergeleitet und legt dort fest, welche Daten an die Webseite übertragen werden sollen (zum Beispiel Username, E-Mail-Adresse, Realname usw...). Man kann dies bei einigen Providern so einstellen, dass man (ähnlich wie bei einer Personal Firewal) einer Webseite den Zugriff auf diese Daten entweder einmalig oder für immer gewährt. Nach der Bestätigung werden diese dann an die ursprüngliche Seite übermittelt.

  • Carsten Pötter

    03.12.07 (21:38:18)

    Mal sehen, ob ich einige der angesprochenen Probleme ausräumen kann. Phishing ist tatsächlich eines der größten, möglichen Probleme von OpenID. Allerdings haben viele Provider (MyOpenID, VeriSign PIP, SignOn.com, das deutsche Xlogon,...) Schritte unternommen, Phishing möglichst auszuschließen. So ist es z.B. bei MyOpenID nicht möglich, direkt nach der Weiterleitung von z.B. Ma.gnolia auf der MyOpenID Seite das Passwort einzugeben. Man muss entweder ein Bookmarklet nutzen oder direkt auf die Homepage gehen. Sollte man also direkt den (nachgebauten) Login Screen sehen, ist man auf einer Phishing Seite gelandet. Um bei MyOpenID zu bleiben, wird dort Windows Cardspace unterstützt. Es ist dann möglich, OpenID ohne ein Passwort zu nutzen (http://self-issued.info/?p=46). Andere Provider wie z.B. certifi.ca nutzen Browserzertifikate, d.h. dort wird auch kein Passwort abgefragt. Mit der neuen Provider Authentication Policy Extension (PAPE) können Relying Parties, also Seiten, die OpenID zum Login akzeptieren, bestimmte Policies beim Provider abfragen und ein Login zulassen. Es kann also sein, dass man sich nur mit einer OpenID einloggen kann, wenn man bei Provider durch ein Passwort und ein Zertifikat authentifiziert wurde. Michael, Du beschreibst am Ende des Beitrags Delegation, also die URL der eigenen Seite als OpenID nutzen (mit Weiterleitung zur Authentifizierung beim Provider). Eigentlich ist das einer der großen Vorteile von OpenID, weil ich dann jederzeit den Provider wechseln kann, ohne eine neue OpenID zu haben. Accounts bei Relying Parties kann ich dann ohne Probleme weiter nutzen. Natürlich ist es immer ein Problem, wenn der Webserver gehackt wird. Zugegeben ein Problem. Wer sich nicht sicher ist, den eigenen Server dicht zu halten, muss dann leider auf Delegation verzichten. Email Bestätigungen und Captchas: Das kann eine Seite handhaben wie sie möchte. Es dient wie immer dazu, Spambots, etc auszufiltern.

  • Michael Osl

    03.12.07 (23:56:17)

    Danke, Carsten, für dein ausführliches Kommentar. Leider zeigt die Praxis ganz eindeutig, dass eben viele Webseiten-Betreiber nicht dafür sorgen können, sich vollständig abzudichten (Stichwort Defacement) - oder sich erst gar keine Gedanken darüber machen. Klar klingt es verlockend, seine eigene OpenID auch bei einem Betreiberwechsel behalten zu können, allerdings finde ich es in dieser Form zu riskant, solange der Provider beliebig ohne Bestätigung auswechselbar ist. Bezüglich der Captchas: Wäre es nicht ein guter Ansatzpunkt, dass man einmal bei seinem OpenID-Provider seine "Menschlichkeit" beweist und sich dann eben die Captchas und die E-Mail-Authentifizierung durchgängig sparen kann? Hier sind wohl vor allem die Webseiten-Betreiber gefragt, da auch echten Zusatznutzen zu schaffen.

  • Carsten Pötter

    04.12.07 (01:02:18)

    Hm, Defacement hatte ich auch bereits. Peinlich! Natürlich könnte man bei seinem Provider seine Menschlichkeit beweisen. In gewisser Form geht das bei manchen Providern sogar: Microsoft hat letzte Woche eine experimentellen Server gestartet, bei dem das Passwort anhand von zehn Tintenklecksen bestimmt wird. Man sieht einen Tintenklecks und assoziiert damit ein Wort, z.B. Vogel. Der erste und letzte Buchstabe des Wortes (also hier vl) wird Teil des Passwortes. Zur Bestätigung werden die zehn Tintenkleckse in zufälliger Weise noch einmal angezeigt, d.h. man muss die Buchstaben des Passwortes entsprechend ändern. Etwas ähnliches macht bereits MyVidoop, die ein Raster von Images nutzen. In beiden Fällen ist es sehr schwer (das Wort 'unmöglich' nutze ich mal nicht) für andere, das Passwort zu bestimmen. PAPE gibt der Relying Party durchaus die Möglichkeit anhand der Antwort des Providers zu entscheiden, ob der User sich einloggen darf und ob er dann noch ein Captcha sehen muss oder nicht. PAPE ist aber eine Extension, d.h. sie muss nicht unbedingt implementiert werden. Grundsätzlich aber ist OpenID kein Trust System, was es auch nicht sein will. PAPE bietet Ansätze in diese Richtung, mehr nicht. Relying Parties können auch auf Whitelisting zurück greifen, d.h. sie akzeptieren nur Logins mit OpenID's, die von bestimmten Providern sind (weil sie z.B. gewisse Sicherheitsstandards erfüllen). AOL/AIM macht das zum Beispiel.

  • Timo

    04.12.07 (13:17:27)

    Find ich gut.

  • hansjoerg

    04.12.07 (13:38:10)

    ich finde die idee von openID ganz nett allerdings bin ich nicht ganz überzeugt davon, ob es sich in der praxis durchsetzen wird. alleine das ständige eingeben einer relativ langen URL (ich denke da wird das FF Plugin Abhilfe schaffen) nervt doch ein wenig ...

  • Carsten Pötter

    04.12.07 (18:40:54)

    VeriSign hat ein Plugin veröffentlicht - SeatBelt -, welches OpenID Login Screens automatisch erkennt und die OpenID gleich einfügt. Zudem bietet das Plugin noch ein paar Anti-Phishing Features und man kann ziemlich einfach seine OpenID wechseln. Momentan wird SeatBelt von AOL, MyOpenID, MyXlogon, SignOn.com und natürlich VeriSign PIP unterstützt.

  • Inkas

    30.06.10 (06:19:18)

    Hallo NEON, für einen Käufer trifft es sicher zu, dass PayPal einfach, komfortabel und auch sicher ist. Wenn Du jedoch selbst Waren im Internet verkaufst und die Käufer zahlen überwiegend über PayPal, dann stellen die dafür fälligen Gebühren einen beachtlichen Kostenfaktor dar! Zur OpenID muß ich sagen, dass es 2010 zu den 2007 hier veröffentlichten Kommentaren nicht viel zu ergänzen gibt. Gegenüber "normalem" Login bringt OpenID nach wie vor keinen überzeugenden Vorteil.

Diesen Beitrag kommentieren:

Die Kommentare können nur zwischen 9 und 16 Uhr
freigeschaltet werden. Wir bitten um Verständnis.

Um Spam zu vermeiden, schreiben Sie bitte die Buchstaben aus diesem Bild in das nebenstehende Formularfeld:

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer