Anzeige
Anzeige
Software & Entwicklung

Warum dezentralem Identitätsmanagement die Zukunft gehört.: OpenID

Im realen Leben ist es ganz leicht: Ein Ausweisdokument genügt, um die eigene Identität nahezu global zu belegen. Ein Foto, einige Eckdaten, weitestgehend sicher vor Fälschungen und Duplikaten. In der virtuellen Welt sieht es anders aus. Nahezu jede Webseite oder jedes Produkt erfordert eine eigene Autorisierung vom User, oft in der Kombination Benutzername und Passwort, im Allgemeinen beides frei wählbar und bestenfalls über die korrespondierende E-Mail-Adresse verifiziert. Vor diesem Hintergrund macht man sich an vielen Stellen des Netzes schon seit langem Gedanken über ein virtuelles Identitätsystem.

6 Min.
Artikel merken
Anzeige
Anzeige

Google, Microsoft, Lycos, Facebook – viele Unternehmen bieten Möglichkeiten, die einmal gewählten Credentials für eine Vielzahl von Produkten zu nutzen – jeweils natürlich in erster Linie die eigenen. Für all die vielen kleinen Tools, die in letzter Zeit erscheinen, gilt aber stets: Neu anmelden, den Accocunt verifizieren und die Zugangsdaten merken. Vor diesem Hintergrund hat sich abseits der großen Unternehmen ein De-facto-Standard entwickelt, der viel Potenzial bietet.

Was ist OpenID?

Anzeige
Anzeige

OpenID ist ein dezentrales Identitätssystem. Die erste Adaption fand sich im Juli 2005 bei Livejournal, einer Blogging-Plattform, die mittlerweile Teil von SixApart (Movable Type, Typepad, Vox) ist. Es bietet seinen Nutzern ein Single-Sign-On für alle Dienste, die diesen Service unterstützen: Statt sich bei zahllosen Anbietern zu registrieren und dabei schlimmstenfalls stets neue Passwörter und Usernamen zu generieren, bietet OpenID eine dezentrale Datenbank mit Identitäten. Diese Identitäten basieren auf dem URL-Prinzip, ein OpenID-Username ist quasi eine Adresse im Netz – und idealerweise auch direkt der Link zur eigenen Website oder zum eigenen Blog. Möchte man sich als OpenID-User bei einem Service anmelden, reicht es, den eigenen OpenID-Nutzernamen einzugeben und anschließend einmalig die Nutzung der eigenen Daten durch diesen Service zu gestatten – schon kann man die neue Seite vollständig nutzen.

Im Rahmen der Datenfreigabe kann man für jedes genutzte Produkt entscheiden, welche Informationen übermittelt werden dürfen. Verlangt ein Dienst für die Registrierung spezielle Details, kann eine zusätzliche Abfrage erforderlich sein, grundsätzlich sollten die Stammdaten aber ausreichen.

Anzeige
Anzeige

Der Umgang mit diesen Stammdaten ist denn auch ein großer Pluspunkt der OpenID. Ändern sich diese, reicht es, diese Änderung beim OpenID-Service-Provider zentral vorzunehmen; die Aktualisierung bei jedem einzelnen Anbieter entfällt somit, die eigenen Daten sind überall auf dem gleichen, aktuellen Śtand.

Anzeige
Anzeige

Mittlerweile haben sich viele Anbieter diesem Verfahren angeschlossen, unter anderem Microsoft, Yahoo!, Digg, die Wikipedia, Orange und SixApart. Letztere sind durch OpenID-Initiator Brad Fitzpatrick, Gründer von LiveJournal, ohnehin sehr eng mit diesem Thema verwoben.

OpenID ist nicht von kommerziellen Interessen getrieben, wie folgendes Statement von Brad Fitzpatrick, dem gedanklichen Vater des Projekts, belegt:

Anzeige
Anzeige

„Niemand soll es besitzen. Niemand plant, Geld damit zu verdienen. Das Ziel ist, alle Bestandteile unter möglichst freien Lizenzen zu veröffentlichen, sodass ein Zugang ohne Bezahlung oder Registrierung möglich ist. Wenn so etwas existiert, wird die ganze Community davon profitieren, und wir alle sind Teil dieser Community.“

Der Weg zur eigenen virtuellen Identität

Der Weg zur eigenen OpenID führt zunächst über einen der zahlreichen OpenID-Service-Provider. Der Anmeldeprozess ist überall recht einfach. Username, Passwort und E-Mail-Adresse (inkl. Verifikation) reichen für das initiale Setup aus. Danach verfügt man über einen OpenID-Usernamen nach diesem Schema: http://username.myopenid.com.

Um im nächsten Schritt die eigene OpenID zu testen, kann man eine der zahlreiche Seiten, die OpenID unterstützen, aufrufen [1], beispielsweise Zooomr.com – oder das agenturblog.de, die virtuelle Präsenz des Verfassers dieser Zeilen. Auch dort wird OpenID für die Kommentarfunktion seit längerem unterstützt.

Das eigene Blog als Benutzername

Wer bereits ein Blog betreibt, hat schon eine zentrale URL, die seine
Persönlichkeit im Netz nach exakt den eigenen Präferenzen und Wünschen
modelliert. Was macht also mehr Sinn, als diese URL anstelle eines
anonymen Services zu verwenden? Einige Zeilen Code im Header der
Seite reichen vollkommen aus, um eine dauerhafte Verbindung zur eigenen
OpenID (die dennoch zunächst an anderer Stelle anzulegen ist) zu
delegieren:

Anzeige
Anzeige
HTML
<link rel="openid.server" href="http://www.myopenid.com/server"/>
<link rel="openid.delegate" href="http://owagner.myopenid.com/"/>
<meta http-equiv="X-XRDS-Location" content="http://owagner.myopenid.com/xrds"/>

Listing 1

Mit dieser Lösung ist man auch für die Zukunft gewappnet. Wechselt
man später den OpenID-Provider, so reicht ein Update der drei Zeilen –
der Nutzer behält so die volle Autonomie über seine Identität im Web.

OpenID-Authentifizierung in WordPress integrieren


In WordPress-Blogs gestaltet sich die Einbindung von OpenID mit dem Plugin von VerseLogic [2] recht einfach: Plugin herunterladen, installieren und in die Comments-Datei des WordPress-Templates einfach noch eine weitere Zeile einbinden – fertig. Jetzt können Leser ganz einfach durch Eingabe ihrer OpenID kommentieren. Optional kann man diese Kommentare anders behandeln als andere, beispielsweise in dem diese direkt und ohne Moderation freigeschaltet werden – schließlich weiß man nun genau, mit wem man es zu tun hat.

Wo liegen die Gefahren bei OpenID?

Zunächst muss man sich die Vorteile von OpenID nochmals genau vergegenwärtigen. In einem möglichen Zukunftsszenario könnten wir alle ein zentrales Login nutzen, mit dem wir flexibel von einem Produkt zum anderen wechseln können, dabei unsere Stammdaten ganz selbstverständlich mitnehmen – alle Türen stehen uns offen. Wir erhalten sozusagen einen persönlichen Zentralschlüssel, der sie für uns öffnet. Was aber, wenn …

Anzeige
Anzeige
  • dieser Schlüssel in falsche Hände gerät? Auf einmal kann jeder auf alle meine Daten im Web zugreifen.
  • mein OpenID-Anbieter Unfug mit meinen Daten treibt?
  • diese schlimmstenfalls verkauft?
  • inklusive meines Nutzungsprofils?
  • und meines Netzwerkes?
  • regierungsnahe Stellen den Zugriff auf verdächtige Accounts erzwingen?
  • ein OpenID-Anbieter den Dienst einstellt?

Diese Liste lässt sich vermutlich stetig weiter fortführen. Sie zeigt aber auch ganz klar die Lösung dieser Probleme: Wir brauchen einen OpenID-Anbieter, dem wir 100% vertrauen können und der alle denkbaren Sicherheitsmechanismen nutzt, um unseren Account zu schützen. Vor Hackern, vor Phishern – und vor dem Zugriff regierungsnaher Stellen: „With great Power comes great responsibility“.

Eine Lösung hierfür könnte der Betrieb eines eigenen OpenID-Servers für eine kleine Nutzergruppe sein. Ein Anleitung dafür gibt es auf der OpenID-Projektseite [3]. Mit phpMyID [4] ist das schnell gemacht – diese Lösung ist aber nicht massenmarktkompatibel, und genau darum geht es ja, wenn OpenID ein Erfolg, vielleicht sogar ein Standard werden soll.

Derzeit gibt es in der OpenID-Bewegung viele Diskussionen um dieses Thema. So wird daran gedacht, ein Gütesiegel für Provider zu vergeben oder dem Thema Phising durch innovative Konzepte zu begegnen. Wie leicht Phising übrigens möglich ist, zeigt sehr schön diese detaillierte Anleitung [5].

Anzeige
Anzeige

Grundsätzlich gelten viele der hier aufgeführten Probleme natürlich auch für alle klassischen Arten der Nutzerverwaltung. Erhält jemand Zugriff auf den Google-Account eines beliebigen Users, kann er bereits jetzt sehr detailierte Daten über den Nutzer einsehen: E-Mails, Transaktionen, Suchhistorie, Bookmarks, Statistiken der Webseiten etc.

Ausblick

Gelingt es OpenID, gute Antworten auf die Sicherheitsfragen zu geben, steht einer großen Verbreitung im Web nichts mehr im Wege. Die Vorteile für Nutzer wie auch für Betreiber von Webseiten und Applikationen sind einfach unübersehbar. Insbesondere für neue Webprodukte stellte OpenID eine große Chance dar, schnell viele Registrierungen und somit echte Nutzer zu gewinnen. Das siebenundneunzigste neue Social-Network testen die Early-Adopter viellecht eher, wenn sie sich schnell und unkompliziert mit ihrer zentralen Identität einloggen können, und nicht erst durch mitunter langwierige Registrierungsprozesse gehen müssen. Mittlerweile zählt OpenID gut 2.500 Applikationen, die diesen Weg der Authentifizierung anbieten.Tendenz steil steigend!

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare

Community-Richtlinien

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige