Kategorien
Webdesign

Was ist…Lexikon: OpenID

OpenID ist ein so genanntes Single Sign-on-System für Webseiten und andere webbasierte Dienste, welches als Protokoll seit 2005 existiert. Nutzer können sich bei einem OpenID-Provider einmal anmelden und so eine Identität erstellen und sich mit dieser OpenID ohne Benutzername oder Passwort bei allen anderen Systemen und Diensten anmelden, die OpenID angeschlossen sind.

OpenID ist ein so genanntes Single Sign-on-System für Webseiten und andere webbasierte Dienste, welches als Protokoll seit 2005 existiert. Nutzer können sich bei einem OpenID-Provider einmal anmelden und so eine Identität erstellen und sich mit dieser OpenID ohne Benutzername oder Passwort bei allen anderen Systemen und Diensten anmelden, die OpenID angeschlossen sind.

Ein bekannter OpenID-Anbieter ist zum Beispiel Facebook. Als Nutzer legen Sie dort einen Account an und können diesen dann mit anderen OpenID-Diensten wie MySpace oder Yahoo! verknüpfen.

Das hat den Vorteil, dass man lediglich einen Button klicken muss, um Zugriff auf einen Dienst zu erhalten – das heißt Nutzer müssen sich nicht eine Menge verschiedener Accounts und deren Zugangsdaten merken. Das ist eine deutliche Erleichterung für die Nutzer. Eine Liste der OpenID-Anbieter finden Sie in der Wikipedia.

OpenID ist dezentral und basiert auf der Idee, dass eine Identität über einen URL – bei Facebook sind die URLs zum Beispiel „http://www.facebook.com/Ihr_Name“.  Andere Dienste verwenden Subdomains. Da unter Facebook viele Nutzer gleiche Namen besitzen, verwendet Facebook mittlerweile einen Mix aus Subdomain, in welcher in der Regel die Länderkennung steckt sowie einem Pfad mit Ihrem Namen. Beim Verknüpfen ihrer Identität mit einem neuen Service, wird auf diese Identität zurückgegriffen.

Eine OpenID-Identität wird angelegt, sobald Sie sich ein Benutzerkonto bei einem Dienst etwa wie Facebook oder MySpace anlegen. Es steht ihnen jedoch frei, diese Identität auch mit anderen Diensten zu verknüpfen. Wenn Sie ihr Konto mit einem neuen Dienst verknüpfen wollen, wird die Authentifizierung – also der Login über den ursprünglichen OpenID-Anbieter, bei dem Sie ihre Identität angelegt haben, abgewickelt.

OpenID hat Unterstützung von Branchenriesen wie Google, IBM und Microsoft erfahren. Bisher war es jedoch nicht möglich, etwa eine MySpace OpenID-Identität für einen neuen Facebook-Account zu nutzen – wohl weil MySpace und Facebook direkte Wettbewerber sind. Im Frühjahr 2009 kündigte Facebook die vollständige Implementierung von OpenID an.

Es gibt zahlreiche Sicherheitsbedenken die mit OpenID verbunden sind.  So sollte man sich die Frage stellen, was mit einer Identität passiert, wenn der Provider den Dienst einstellt. Auch könnte man die Gefahr wähnen, dass Aufsichtsbehörden oder kommerzielle Anbieter Nutzerverhalten leichter überwachen können. Die Gefahr von Phishing-Attacken ist offensichtlich, da diese umso lukrativer je mehr Accounts mit einer OpenID verknüpft sind. Marco Slot zeigt in einem kleinen Tutorial wie einfach das Phishing mit ein wenig PHP ist. Andererseits können Nutzer leichter die Authentizität von OpenID Diensten ermitteln, da der Login und die Authentifizierung jedes neuen Dienstes über den Login des ursprünglichen OpenID-Providers, bei welchem die Identität angelegt wurde, erfolgt. Mehr Sicherheit sollen zudem die Verwendung von Cookies und Captchas, sowie die clientseitige Verwendung von TLS-Zertifikaten zur Athentifizierung bringen.

Insgesamt bietet OpenID Chancen, um das Internet vor allem benutzerfreundlicher zu machen. Es erlaubt die Verschmelzung von Diensten und das einfachere Verwalten von Benutzerkonten, da so eigentlich nur noch eine Identität verwaltet werden muss. Leider, wie jede Technologie, gibt es Bedenken und Risiken. ™

Von Thiemo Fetzer

Thiemo Fetzer lebt seit 2008 in London und promoviert dort im Fachbereich "Entwicklungsökonomie" an der London School of Economics. Zuvor hat er Wirtschaftswissenschaften, Mathematik und Informatik in Magdeburg und Ulm studiert.

5 Antworten auf „Was ist…Lexikon: OpenID“

Eigentlich eine gute Sache, wenn der Anbieter ein unabhängiges Gremium ala RIPE etc. wäre. Dann bestünde auch eine bessere Kontrollmöglichkeit. Die Tatsache, dass die Daten in falsche Hände oder in die Hände von kommerziellen Dienstleistern und Datenhaien fallen, würde mir auch missfallen!

Ich habe mehrmals OpenID und Co unter die Lupe genommen um zu schauen ob ich es in Projekte mit einbinden kann. Das Problem ist nur, dass OpenID eben kein zentrale Userverwaltung hat sondern das alles „lokale“ Dienste sind. Ok Facebook, als großer Partner bietet das nun an, doch das tun auch tausende anderer „Genreseiten“ wie Browsergames und Co. Als Seitenbetreiber muss man sich nun ein aussuchen und hoffen, dass viele künftige Kunden da evtl. schon ein Account haben.

Doch zusammen mit den oben genannten Sicherheitsrisiken und dem Mehrumstand den man im eigenen Script hat (Userverwaltung braucht man trotzdem) lohnt sich das nicht. Wenn Google und Co Firmeneigene Dienste damit verbinden. Super. Aber als einfacher Seitenbetreiber ehr nutzlos.
(Zumal die meisten User keine Ahnung haben was OpenID ist und sich mit einem normalen Account registrieren)

Ich finde OpenID ist eine tolle Sache und freue mich, dass immer mehr Branchenriesen auf den Zug aufspringen. Am Besten natürlich mit „richtigen“ OpenID-Implementierungen und keinen properitären Varianten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.