<< Themensammlung Netzwertig

Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

03.12.07

OpenID - Was bringt es?

Es gibt wohl kaum jemanden, der nicht hin und wieder vor Logins von Webseiten steht, von denen man zwar dunkel in Erinnerung hat, dass man sich irgendwann mal dort registriert hat, sich aber partout nicht mehr an den Benutzernamen und das Passwort erinnern kann ("war es jetzt mausibaerli22 oder doch schnuckihasi32?").

Gegen die Flut an Passwörter helfen sogenannte Single-Sign-On-Systeme, welche auf "ein Login für alles" setzen und nun scheinbar auch bei Webdiensten allmählich Verbreitung finden. Dabei setzt sich das von Brad Fitzpatrick entwickelte OpenID-Protokoll immer mehr als Quasi-Standard durch - vor wenigen Tagen erst war auf Techcrunch zu lesen, dass mittlerweile sogar schon Google mit OpenID experimentiert, nämlich auf deren hauseigenem Blogdienst Blogger.com. Dort ist es bald vielleicht schon möglich, sich für die Kommentarfunktion per OpenID zu identifizieren. Ebenso hat der französische Mobilfunkanbieter Orange im September mit der Ankündigung aufhorchen lassen, seinen mehr als 40 Millionen Kunden künftig als OpenID-Provider zur Verfügung zu stehen - auch wenn sich diese Meldung bei genauerer Betrachtung als weit weniger spektakulär herausstellt als sie zunächst klingt. Zeit dennnoch für zweinull.cc, OpenID genauer unter die Lupe zu nehmen. Das Prinzip

 

Die Qual der Wahl bei Ma.gnolia: Herkömmliches Login oder Anmeldung per OpenID bzw. Facebook?

Das Konzept von OpenID an sich ist relativ einfach: Man besorgt sich eine OpenID bei einem der vielen Anbieter (siehe Links am Ende dieses Artikels), indem man sich dort auf herkömmliche Art und Weise registriert. Anschließend erhält man eine URL (zB irgendwer.myID.net), welche fortan die persönliche OpenID-Kennung darstellt. Wer einen Domain-Namen registriert hat, kann sogar diesen als OpenID-Kennung verwenden, indem er im Header der HTML-Datei seine OpenID-URL sowie seinen Provider angibt. Somit behält man seine Identifikation selbst dann noch, sollte man mal den Anbieter wechseln.

Doch was macht man nun mit dieser URL? Ganz einfach: Wenn man sich bei einem Webdienst anmelden möchte, so gibt man fortan anstelle seines Benutzernamens und Passwortes nur noch die persönliche OpenID-URL an. Klickt man auf weiter, wird man zu seinem OpenID-Dienstanbieter weitergeleitet. Hier muss man sich jetzt einloggen und bestätigen, dass man Daten an die Seite übermitteln möchte, von der man kommt. Somit nimmt die Identifizierung eines Users nicht mehr der eigentliche Webseiten-Betreiber vor, sondern der OpenID-Provider. Hat man sich bei diesem erfolgreich authentifiziert, dann wird man von der OpenID-Webseite wieder zum ursprünglichen Angebot weitergeleitet - mit der Bestätigung, dass die Anmeldung erfolgreich war. Dabei werden während des gesamten Vorganges werden keinerlei Passwörter übertragen. Natürlich kann man das Login beim OpenID-Provider per Cookie permanent speichern, so dass man nur die URL anzugeben braucht und alles weitere dann automatisch geschieht.

Dass man in der Wahl seines OpenID-Anbieters frei ist, stellt einen der großen Vorteile des Systems dar. Die Daten aller Nutzer liegen somit nicht zentral bei einem Anbieter, sondern sind über die vielen einzelnen Services verstreut. Dazu muss man allerdings auch sagen, dass sie das bei der herkömmlichen Methode (individueller Login für jede Seite) ja bisher auch schon immer getan haben. Zudem ist anzunehmen, dass sich ein Großteil der Logins wahrscheinlich dann doch wieder auf einige wenige Anbieter konzentrieren wird.

Ebenfalls konnte ich es nicht bestätigen, dass man sich mit OpenID mühselige Registrierungen erspart. Bei einem kurzen Test einiger OpenID-fähiger Webseiten musste ich letztendlich doch immer noch einige zusätzlich Daten herausrücken, um an ein Profil zu gelangen - allerhöchstens um die E-Mail-Authentifizierung kommt man herum und einige Daten wurden automatisch übernommen. Insgesamt gibt es vom Ablauf her bei vielen Anbietern daher kaum einen Komfortgewinn. Für den Normalanwender stelle ich es mir zudem etwas verwirrend vor, wenn man ihn plötzlich auf eine komplett andere Seite schickt, als von der er kommt.

Sicherheitsgewinn?

Ein weiterer, sehr gravierender Nachteil ist in meinen Augen, dass man gleich den Zugang zu mehreren Webseiten offen legt, sollte es jemanden gelingen, sich Zutritt zu seinem OpenID-Account zu verschaffen. Man stelle sich nur mal folgendes Szenario vor: Ein Großteil aller Internetnutzer verwaltet seine Zugänge für die wichtigsten Websites mittels OpenID. Der größte Teil der Nutzer entfällt dabei auch noch auf einige wenige, große Anbieter (wie myopenid.net und claimid.com). Das würde Phishern die Arbeit sehr erleichtern: Mit einer groß angelegten Kampagne kann man gleich die Zugsangsdaten mehrere Websites einsammeln.

Auch die oben erwähnte Weiterleitung von einer eigenen Domain sollte man nur mit äußerster Vorsicht genießen. Bei einem Test war es für mich ohne Probleme möglich, mich von einem fremden Rechner in meinen ma.gnolia Account einzuloggen, indem ich einfach auf meinem Webserver die URL des Providers ausgetauscht habe und mich dann über einen fremden OpenID-Provider authentifiziert habe - und das obwohl ich sogar eine falsche E-Mail-Adresse und Benutzernamen übermittelt habe! In der Praxis könnte sich so jeder, der sich Zugriff auf den Webserver verschafft und die Provider-URL austauscht, auf allen Webseiten anmelden, die dieser OpenID zugewiesen sind. Ich weiß allerdings nicht, ob dieser Lücke nur ma.gnolia im Speziellen betrifft oder eine generelle Schwachstelle darstellt.

Aussichten

Für Firefox 3 war eine integrierte OpenID-Unterstützung vorgesehen, allerdings ist diese im Mozilla-Entwickler-Wiki derzeit mit "At risk" markiert und die Umsetzung somit fraglich. Indessen arbeitet das Entwicklerteam von OpenID bereits an der Version 2.0 des Protokolls, welche laut dem englischsprachigen Wikipedia-Artikel auf Yadis basieren wird und über die reine Authentifizierung hinausgehende Dienste anbieten wird.

Fazit

Ich muss sagen, dass mich OpenID derzeit nicht überzeugen kann. Weder bringt es mir einen signifikanten Sicherheits- noch einen Komfortgewinn. Ich jedenfalls fühle mich derzeit mit meiner Taktik, für alle Webseiten unterschiedliche, zufällige Passwörter zu verwenden und diese im Passwort-Mananger samt Masterpasswort von Firefox zu verwalten, wesentlich sicherer - Immerhin liegen so die Zugangsdaten auch verstreut im Netz (Wer meinen Facebook-Account knackt, hat damit längst noch nicht Zugriff auf meine Google-Mails). Auch hat mich OpenID nicht davor bewahrt, kaum noch lesbare Captchas entziffern zu müssen. Für mich bleibt's somit vorerst beim Login 1.0 ;)

Links

OpenID-Provider (Auswahl)

- www.myopenid.com - Bietet komfortable Verwaltung mehrer Profile

- www.myID.net - Eher rudimentärer Dienst

- claimid.com

Lesenswerte Blog-Beiträge

- OpenID - Besser einloggen! auf corepluse.de

- OpenID bei Ortwin Kartmann

Sonstiges

- Verzeichnis OpenID-fähiger Webseiten

- Kostenloses (etwas auschweifendes) E-Book zu OpenID

Dieser Beitrag wurde ursprünglich im Blog zweinull.cc veröffentlicht. Im Mai 2008 wurden zweinull.cc und netzwertig.com zusammengeführt.

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer