Im Jahr 2005 hatte der Webloghoster LiveJournal OpenID gestartet. Heute wird es unter anderem von Yahoo für seine rund 250 Millionen Kunden angeboten und wird von rund 10.000 Websites weltweit akzeptiert. Mit Microsoft und Google sind kürzlich schwergewichtige Unterstützer hinzugekommen. Gerade für Microsoft ist das Thema nicht neu: Mit "Microsoft Passport" sollte man alle Dienste der Redmonder mit nur einem Account nutzen können. Durchgesetzt hatte sich das System allerdings nicht. Kritiker befürchteten, Microsoft könnte darüber einen essenziellen Bestandteil des Internets kontrollieren.

OpenID aus Nutzersicht

Dabei hat ein Single Sign On für den Nutzer einen erheblichen Vorteil: Es ist komfortabler, sich mit nur einem Account bei diversen Diensten anmelden zu können. Bislang ist es schließlich meist noch so, dass man für jeden Service von Neuem einen Benutzernamen und ein Passwort braucht. Auch wenn sich Daten wie die eigene E-Mail-Adresse ändern, hat man es bei einem Single Sign On einfacher: Es gibt nur eine Stelle, an der das zu korrigieren ist.

Die Anmeldung bei einem OpenID-Provider ist simpel: gewünschten Benutzernamen eintragen, Passwort eingeben, die E-Mail-Adresse ausfüllen und sie bestätigen. Danach ist auch die Registrierung bei OpenID-unterstützenden Seiten einfach: die OpenID-Kennung eintragen, eine Weiterleitung auf die Seite des OpenID-Providers abwarten, fertig. Der Dienst, bei dem man sich anmeldet, hat keinen Zugriff auf das eigene Passwort. Er bekommt stattdessen nur die Meldung, dass der Login erfolgreich verlief. Nach der Anmeldung folgt schließlich die "Verification", bei der man seine eigenen Daten freigeben kann.

Doch es gibt auch Nachteile. Der größte ist die Abhängigkeit vom OpenID-Provider. Sollte dieser gerade nicht verfügbar sein, funktioniert die Anmeldung für die betreffenden Nutzer nicht. Außerdem wäre der Provider in der Lage, mit dem Account die Identität des Besitzers anzunehmen – es ist also auch eine Frage des Vertrauens. Wer will, kann stattdessen sein eigener OpenID-Provider werden. Dabei ist es möglich, seine Domain als Identifizierung zu benutzen.

Wie leicht es ist, einem ahnungslosen Benutzer seine Daten abspenstig zu machen, zeigt die Seite "OpenIDtheft". Dabei wird man nur scheinbar zu der Login-Seite weitergeleitet, ist aber in Wirklichkeit noch auf der Phishing-Seite.

Das Problem mit dem Daten- und Identitätsdiebstahl hat man mittlerweile auch bei OpenID selbst erkannt und sucht nach Lösungsansätzen: Diskutiert werden Browserzertifikate, Images zur Authentifizierung oder individuelle Grafiken, die nur der Nutzer selbst kennen kann. OpenID-Experte Thomas Huhn meint, dass vor allem der potenzielle Zugang zu vielen Accounts gefährlich ist. Er ist Betreiber des größten Verzeichnisses für OpenID. "Phishing ist allerdings ein Thema, das prinzipiell praktisch jede Anwendung mit einem Login betrifft. Speziell eBay, PayPal und diverse Banken waren bereits Opfer". Huhn gibt einen guten Tipp, wie man sich ganz ohne komplizierte Technik vor den Betrügern schützen kann: "Einfach jeden Morgen zunächst bei seinem OpenID-Provider einloggen. In diesem Falle sollte man bei der Nutzung seiner OpenID keinen Login-Screen seines Providers mehr sehen." Sieht man ihn doch, ist es vermutlich ein Phishing-Versuch.

OpenID aus Anbietersicht

Radikaler Schritt: Bei Ma.gnolia kann man sich nur noch über externe Accounts wie OpenID anmelden.
"Der Bookmarkingdienst Ma.gnolia hat vor einiger Zeit das normale Registrierungsverfahren gestrichen, weil sie dadurch zu viel Spam von Suchmaschinenoptimierern hatten, die ihre Seiten durch Ma.gnolia-Links hochpushen wollten", erklärt Thomas Huhn. 75 Prozent der registrierten Accounts wurden zu dem Zeitpunkt von Spammern erstellt. Bei Ma.gnolia kann man sich auch über bestehende Yahoo- oder AOL-Accounts registrieren, da diese die OpenID-Technologie unterstützen.

Auch die Gründer von Sixgroups haben den Schritt in Richtung OpenID getan. Dabei sind sie nicht so radikal wie Ma.gnolia, denn einen eigenen Login gibt es weiterhin. Technikchef Andreas Stephan sagt, für erfahrene Programmierer sei es zwar ein Leichtes, OpenID einzubauen, doch so einfach wie beispielweise WordPress zu installieren sei es nicht. Für bekannte Frameworks, beispielsweise CakePHP oder Ruby on Rails, gebe es passende Plugins, die einem etwas von der Arbeit abnehmen.

Andreas Stephan hat zudem einige Tipps für den Einbau parat. So muss auf der Loginseite ein neuer Link für den OpenID-Login geschaffen werden. „Nach Eingabe der OpenID-Kennung muss diese an die Library übergeben werden, die in allen gängigen Programmiersprachen verfügbar ist“, erklärt er. Diese verschlüsselt die Daten und leitet den Nutzer zum OpenID-Provider weiter. Nach erfolgreicher Authentifizierung und eventueller Freigabe von persönlichen Daten geht es vom Provider zurück zur Anwendung. Diese verarbeitet die Antwort und führt die nächsten Schritte aus.

OpenID und das Usability-Problem

Die Nachfrage nach OpenID ist bei Sixgroups aktuell noch gering. "Selbst bei unseren sehr internetaffinen Nutzern wird OpenID noch kaum genutzt", sagt Andreas Stephan. Nur jeder zwanzigste Account wird darüber angelegt.

Eine Untersuchung von Yahoo hatte kürzlich ergeben, dass selbst erfahrene Internetnutzer von OpenID zunächst irritiert sind. Wurde ihnen der Sinn dahinter erklärt, stieß es hingegen auf großes Interesse und die Vorteile wurden sofort erkannt.

Fazit

OpenID ist ein praktischer Dienst, der immer mehr Verbreitung findet – zumindest bei den Anbietern. Die Nutzer selbst sind hingegen oftmals noch auf das althergebrachte System geeicht, wie Yahoos Untersuchung ergab. Hier bleibt also für alle Beteiligten noch viel Aufklärungsarbeit: Nicht nur OpenID anbieten, sondern aktiv die Vorteile erklären.