- Was ist OpenID?
- „Niemand soll es besitzen. Niemand plant, Geld damit zu verdienen. Das Ziel ist, alle Bestandteile unter möglichst freien Lizenzen zu veröffentlichen, sodass ein Zugang ohne Bezahlung oder Registrierung möglich ist. Wenn so etwas existiert, wird die ganze Community davon profitieren, und wir alle sind Teil dieser Community.“
- Der Weg zur eigenen virtuellen Identität
- Das eigene Blog als Benutzername
- OpenID-Authentifizierung in Wordpress integrieren
- Wo liegen die Gefahren bei OpenID?
- Ausblick
Warum dezentralem Identitätsmanagement die Zukunft gehört.: OpenID
Google, Microsoft, Lycos, Facebook – viele Unternehmen bieten Möglichkeiten, die einmal gewählten Credentials für eine Vielzahl von Produkten zu nutzen – jeweils natürlich in erster Linie die eigenen. Für all die vielen kleinen Tools, die in letzter Zeit erscheinen, gilt aber stets: Neu anmelden, den Accocunt verifizieren und die Zugangsdaten merken. Vor diesem Hintergrund hat sich abseits der großen Unternehmen ein De-facto-Standard entwickelt, der viel Potenzial bietet.
Was ist OpenID?
OpenID ist ein dezentrales Identitätssystem. Die erste Adaption fand sich im Juli 2005 bei Livejournal, einer Blogging-Plattform, die mittlerweile Teil von SixApart (Movable Type, Typepad, Vox) ist. Es bietet seinen Nutzern ein Single-Sign-On für alle Dienste, die diesen Service unterstützen: Statt sich bei zahllosen Anbietern zu registrieren und dabei schlimmstenfalls stets neue Passwörter und Usernamen zu generieren, bietet OpenID eine dezentrale Datenbank mit Identitäten. Diese Identitäten basieren auf dem URL-Prinzip, ein OpenID-Username ist quasi eine Adresse im Netz – und idealerweise auch direkt der Link zur eigenen Website oder zum eigenen Blog. Möchte man sich als OpenID-User bei einem Service anmelden, reicht es, den eigenen OpenID-Nutzernamen einzugeben und anschließend einmalig die Nutzung der eigenen Daten durch diesen Service zu gestatten – schon kann man die neue Seite vollständig nutzen.
Im Rahmen der Datenfreigabe kann man für jedes genutzte Produkt entscheiden, welche Informationen übermittelt werden dürfen. Verlangt ein Dienst für die Registrierung spezielle Details, kann eine zusätzliche Abfrage erforderlich sein, grundsätzlich sollten die Stammdaten aber ausreichen.
Der Umgang mit diesen Stammdaten ist denn auch ein großer Pluspunkt der OpenID. Ändern sich diese, reicht es, diese Änderung beim OpenID-Service-Provider zentral vorzunehmen; die Aktualisierung bei jedem einzelnen Anbieter entfällt somit, die eigenen Daten sind überall auf dem gleichen, aktuellen Śtand.
Mittlerweile haben sich viele Anbieter diesem Verfahren angeschlossen, unter anderem Microsoft, Yahoo!, Digg, die Wikipedia, Orange und SixApart. Letztere sind durch OpenID-Initiator Brad Fitzpatrick, Gründer von LiveJournal, ohnehin sehr eng mit diesem Thema verwoben.
OpenID ist nicht von kommerziellen Interessen getrieben, wie folgendes Statement von Brad Fitzpatrick, dem gedanklichen Vater des Projekts, belegt:
„Niemand soll es besitzen. Niemand plant, Geld damit zu verdienen. Das Ziel ist, alle Bestandteile unter möglichst freien Lizenzen zu veröffentlichen, sodass ein Zugang ohne Bezahlung oder Registrierung möglich ist. Wenn so etwas existiert, wird die ganze Community davon profitieren, und wir alle sind Teil dieser Community.“
Der Weg zur eigenen virtuellen Identität
Der Weg zur eigenen OpenID führt zunächst über einen der zahlreichen OpenID-Service-Provider. Der Anmeldeprozess ist überall recht einfach. Username, Passwort und E-Mail-Adresse (inkl. Verifikation) reichen für das initiale Setup aus. Danach verfügt man über einen OpenID-Usernamen nach diesem Schema: http://username.myopenid.com.
Um im nächsten Schritt die eigene OpenID zu testen, kann man eine der zahlreiche Seiten, die OpenID unterstützen, aufrufen [1], beispielsweise Zooomr.com – oder das agenturblog.de, die virtuelle Präsenz des Verfassers dieser Zeilen. Auch dort wird OpenID für die Kommentarfunktion seit längerem unterstützt.
Das eigene Blog als Benutzername
Wer bereits ein Blog betreibt, hat schon eine zentrale URL, die seine
Persönlichkeit im Netz nach exakt den eigenen Präferenzen und Wünschen
modelliert. Was macht also mehr Sinn, als diese URL anstelle eines
anonymen Services zu verwenden? Einige Zeilen Code im Header der
Seite reichen vollkommen aus, um eine dauerhafte Verbindung zur eigenen
OpenID (die dennoch zunächst an anderer Stelle anzulegen ist) zu
delegieren:
<link rel="openid.server" href="http://www.myopenid.com/server"/> <link rel="openid.delegate" href="http://owagner.myopenid.com/"/> <meta http-equiv="X-XRDS-Location" content="http://owagner.myopenid.com/xrds"/>
Listing 1
Mit dieser Lösung ist man auch für die Zukunft gewappnet. Wechselt
man später den OpenID-Provider, so reicht ein Update der drei Zeilen –
der Nutzer behält so die volle Autonomie über seine Identität im Web.
OpenID-Authentifizierung in WordPress integrieren
In WordPress-Blogs gestaltet sich die Einbindung von OpenID mit dem Plugin von VerseLogic [2] recht einfach: Plugin herunterladen, installieren und in die Comments-Datei des WordPress-Templates einfach noch eine weitere Zeile einbinden – fertig. Jetzt können Leser ganz einfach durch Eingabe ihrer OpenID kommentieren. Optional kann man diese Kommentare anders behandeln als andere, beispielsweise in dem diese direkt und ohne Moderation freigeschaltet werden – schließlich weiß man nun genau, mit wem man es zu tun hat.
Wo liegen die Gefahren bei OpenID?
Zunächst muss man sich die Vorteile von OpenID nochmals genau vergegenwärtigen. In einem möglichen Zukunftsszenario könnten wir alle ein zentrales Login nutzen, mit dem wir flexibel von einem Produkt zum anderen wechseln können, dabei unsere Stammdaten ganz selbstverständlich mitnehmen – alle Türen stehen uns offen. Wir erhalten sozusagen einen persönlichen Zentralschlüssel, der sie für uns öffnet. Was aber, wenn …
- dieser Schlüssel in falsche Hände gerät? Auf einmal kann jeder auf alle meine Daten im Web zugreifen.
- mein OpenID-Anbieter Unfug mit meinen Daten treibt?
- diese schlimmstenfalls verkauft?
- inklusive meines Nutzungsprofils?
- und meines Netzwerkes?
- regierungsnahe Stellen den Zugriff auf verdächtige Accounts erzwingen?
- ein OpenID-Anbieter den Dienst einstellt?
Diese Liste lässt sich vermutlich stetig weiter fortführen. Sie zeigt aber auch ganz klar die Lösung dieser Probleme: Wir brauchen einen OpenID-Anbieter, dem wir 100% vertrauen können und der alle denkbaren Sicherheitsmechanismen nutzt, um unseren Account zu schützen. Vor Hackern, vor Phishern – und vor dem Zugriff regierungsnaher Stellen: „With great Power comes great responsibility“.
Eine Lösung hierfür könnte der Betrieb eines eigenen OpenID-Servers für eine kleine Nutzergruppe sein. Ein Anleitung dafür gibt es auf der OpenID-Projektseite [3]. Mit phpMyID [4] ist das schnell gemacht – diese Lösung ist aber nicht massenmarktkompatibel, und genau darum geht es ja, wenn OpenID ein Erfolg, vielleicht sogar ein Standard werden soll.
Derzeit gibt es in der OpenID-Bewegung viele Diskussionen um dieses Thema. So wird daran gedacht, ein Gütesiegel für Provider zu vergeben oder dem Thema Phising durch innovative Konzepte zu begegnen. Wie leicht Phising übrigens möglich ist, zeigt sehr schön diese detaillierte Anleitung [5].
Grundsätzlich gelten viele der hier aufgeführten Probleme natürlich auch für alle klassischen Arten der Nutzerverwaltung. Erhält jemand Zugriff auf den Google-Account eines beliebigen Users, kann er bereits jetzt sehr detailierte Daten über den Nutzer einsehen: E-Mails, Transaktionen, Suchhistorie, Bookmarks, Statistiken der Webseiten etc.
Ausblick
Gelingt es OpenID, gute Antworten auf die Sicherheitsfragen zu geben, steht einer großen Verbreitung im Web nichts mehr im Wege. Die Vorteile für Nutzer wie auch für Betreiber von Webseiten und Applikationen sind einfach unübersehbar. Insbesondere für neue Webprodukte stellte OpenID eine große Chance dar, schnell viele Registrierungen und somit echte Nutzer zu gewinnen. Das siebenundneunzigste neue Social-Network testen die Early-Adopter viellecht eher, wenn sie sich schnell und unkompliziert mit ihrer zentralen Identität einloggen können, und nicht erst durch mitunter langwierige Registrierungsprozesse gehen müssen. Mittlerweile zählt OpenID gut 2.500 Applikationen, die diesen Weg der Authentifizierung anbieten.Tendenz steil steigend!