Internet-Nutzer müssen mit einer Vielzahl von Log-in-Daten hantieren. Den meisten Anwendern ist dies lästig. Mit Open ID soll eine Art Passepartout fürs Web etabliert werden. ZDNet erklärt die Funktionsweise sowie Vor- und Nachteile.
Welcher Nutzername? Welches Passwort? Wer im Internet surft und dabei die neuesten Webapplikationen nutzt, steht regelmäßig vor dieser Frage. Fast jeder Service, der über die reine Informationsbeschaffung hinausgeht, arbeitet mit nutzerbezogenen Daten und erfordert daher eine Registrierung.
Sehr schnell kommt man so auf 50 oder mehr Log-ins, die wohl die wenigsten im Kopf behalten können. Quasi als Notlösung verwenden viele immer die gleiche Kombination - oder beschränken sich auf wenige.
Die immer wieder erneut notwendige Registrierung gilt zudem als Hürde, die neuen Diensten die oft sehnlich erwarteten Neukunden vertreibt. Aus diesem Grund haben große Netzwerke wie Google, Microsoft und Yahoo ihre Log-ins schon lange vereinheitlicht. Allerdings gelten diese Standards jeweils nur für alle eigenen Websites.
Bequemer wäre eine Lösung, mit der man sich auf allen Sites mit denselben Daten einloggen kann - eine Art Generalschlüssel fürs Web. Mit Open ID ist eine solche Technik verfügbar. Seit Sommer 2007 kümmert sich die Open ID Foundation[1] um ihre Verbreitung. Die Chancen für einen Durchbruch im laufenden Jahr stehen gut.
In den letzten Jahren gab es mehrere Versuche, eine einheitliche Identität im Internet zu etablieren. Aber keine hatte Erfolg.
Auch Microsoft ist damit gescheitert, den mittlerweile in Windows Live ID[2] umbenannten Passport-Dienst als universelles Log-in durchzusetzen - und das trotz sehr guter Voraussetzungen. Alle Kunden des Freemailers Hotmail hatten nämlich mit ihrem Log-in automatisch einen Passport. Unter dem Namen Hailstorm sollten zudem Services wie Aufgabenlisten und Kalender zentralisiert werden.
Bis auf wenige Bündnisse etwa mit Ebay, die eher politischer Natur waren, konnten die Redmonder keine Partner finden. Die Website-Betreiber wollten diese wichtige Infrastruktur nicht dem mächtigen Softwarekonzern überlassen, der schon im Bereich Desktop-Software einer Übermacht (mit den bekannten Folgen) hat.
Auch auf der Seite der Anwender war das Vertrauen nicht größer: Microsoft musste nach einiger Zeit erkennen, dass das Thema Web-Identität nicht mit dem zentralistischen Passport-Ansatz zu lösen ist.Open ID ist gewissermaßen ein Gegenentwurf zu Passport: Statt geschlossen und zentralisiert ist die Technik quelloffen und dezentral. Sie wurde von Livejournal[3]-Gründer Brad Fitzpatrick entwickelt, der mittlerweile bei Google beschäftigt ist. Zum Einsatz kommen etablierte Webtechnologien wie URI[4], HTTP[5] und SSL[6].
Ein wichtiger Faktor von Open ID ist, dass es statt eines zentralen viele verschiedene Identitäts-Provider gibt. Jeder kann seinen Webausweis bei dem Anbieter anlegen, dem er das höchste Vertrauen entgegenbringt. Mit der nötigen Software kann man sogar selbst zum Provider werden.
Legt man sich einmalig eine Kombination aus Name und Passwort an, ist damit die Anmeldung auf jeder Website mit Open-ID-Unterstützung möglich. Eine Open ID besteht nicht wie sonst üblich aus einer E-Mail-Adresse, sondern aus einer URL, etwa http://ich.wordpress.com.
Das Prozedere der Anmeldung mit Open ID ist aber etwas anders als erwartet: Auf eine Open-ID-Website gibt man lediglich die Open ID, ab Version 2.0 sogar nur den Provider, an. Dann wird man zu seinem Open-ID-Provider weitergeleitet, um sich dort mit seinen Daten zu authentifizieren und die Verwendung der Open ID für den Dienst zu bestätigen.
Nach erfolgreichem Abschluss landet man wieder auf der Registrierungsseite des Anbieters. Da Open ID lediglich Benutzername und Passwort speichert, müssen dort oft noch der Realname und andere Daten angegeben werden.
Während der Web-Generalschlüssel für Anwender zweifelsohne eine praktische Sache ist, wirft die Sicherheit eines solchen Systems Fragen auf. Wie beim Pendant in der realen Welt gilt nämlich: Wer über den Schlüssel verfügt, kommt überall rein.
Wie man Log-ins und andere sensible Informationen abgreift, zeigen täglich zahllose Phishing-Angriffe. Im Falle von Open ID könnten Nutzer auf eine gefälschte Kopie der Provider-Website weitergeleitet werden, um sich dort vermeintlich zu authentifizieren.
Yahoo, seit Anfang des Jahres Provider von Open IDs, begegnet diesem Problem mit einer personalisierbaren Text- oder Bildnachricht, die auf der Log-in-Seite angezeigt wird. Phisher können diese nicht nachbilden. Der Einsatz solcher Maßnahmen ist aber nicht vorgeschrieben – mit anderen Providern könnten Bösewichte daher leichteres Spiel haben. Daher ist zu erwarten, dass besonders sensible Anwendungen durch weitere Maßnahmen abgesichert werden, etwa eine PIN.
Die große Flexibilität auf Providerseite könnte unter Gesichtspunkten des Datenschutzes Probleme bereiten. Wie die Log-in-Daten gespeichert werden, ist nämlich nicht festgelegt. Hier lohnt es sich, genauer hinzusehen und auf Anbieter mit Erfahrung zu setzen. Da der Provider erfasst, wann man sich wo eingeloggt hat, sollte man sich gut überlegen, bei wem solche Daten hoffentlich in guten Händen sind.
Der Erfolg von Open ID hängt maßgeblich von der Unterstützung durch ID-Provider und Websitebetreiber ab. Der bisherige Zuspruch lässt auf einen Durchbruch noch in diesem Jahr hoffen.
Die Chance, dass ein Anwender bereits unwissentlich über eine Open ID verfügt, ist relativ hoch. Wer Konten bei folgenden Anbietern hat, kann sofort in Verbindung mit seinem regulären Passwort loslegen: AOL (openid.aol.com/screenname), Blogger (username.blogger.com), Flickr (www.flickr.com/photos/username), Smugsmug (username.smugmug.com) und Wordpress (username.wordpress.com). Bei Yahoo muss man sich die Open ID dagegen erst anlegen[7]. Alternativ kann man auch unabhängige Provider wie Claim ID[8], My Open ID[9] oder Verisign[10] nutzen.
Wer Open IDs anbietet, muss aber nicht automatisch auch das Log-in unterstützen. Sites, die Open ID akzeptieren, sind in Verzeichnissen von Yahoo[11] und My Open ID[11] zu finden. Um sich mit der Thematik vertraut zu machen, probiert man Open ID am besten selbst aus.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = claimid.com
[9] = http:/
[10] = https:/
[11] = https:/