Vor ein paar Tagen war in den einschlägigen Medien zu lesen, das Social Network Facebook schliesse sich openID an. Aber was ist openID überhaupt? Hinter openID steht die Idee einer Identitätskarte fürs Internet, welche die üblichen Anmeldeprozeduren mit Usernamen und Passwort ersetzen soll. Anstatt sich für jede Webseite verschiedene Usernamen und Passwörter zu merken (und auch wieder zu vergessen) kann man bei der Anmeldung seine openID eingeben. Voraussetzung ist natürlich, der Betreiber der Webseite bietet diese Art der Anmeldung an.
Bereitgestellt wird eine openID bei einem so genannten openID-Provider. Entwickelt wurde openID im Jahre 2005, die OpenID Foundation wurde zwei Jahre später gegründet. Neben unzähligen kleinen Blogs und Webportalen stehen auch Branchengrössen wie Microsoft, IBM oder Google hinter dem Standard und sorgen für eine weite Verbreitung.
Im Corporate Board der Foundation sitzen heute Vertreter der Grossen der IT-Brache: Google, IBM, Microsoft, PayPal, VeriSign und Yahoo. Als Open-Source Projekt gestartet, stellt sich angesichts dieser Liste natürlich die Frage nach der Kommerzialisierung der openID-Idee.
Eine einheitliche Web-Identität bringt sicher Vorteile, aber auch eine Menge Risiken mit sich: Phishing zum Beispiel, das gezielte Klauen von Login-Informationen mit Hilfe gefälschter Web-Seiten, wird durch OpenID zunächst mal deutlich einfacher. Und je mehr kommerziell orientierte Seiten mitmachen, also zum Beispiel eBay oder sogar Online-Banken, desto grösser wird der potentielle Schaden. Es gibt aber noch andere Bedenken aus Sicht der Datenschützer: Wer beispielsweise Yahoo zu seinem OpenID-Provider erklärt, gibt dem Unternehmen damit auch das Recht, sich ausgiebig über das eigene Surfverhalten zu informieren. Da jedes Einloggen über die Yahoo-Seite abgewickelt wird, weiss Yahoo dann stets genau, was ein Nutzer im Netz so unternommen hat – sofern er sich über mit OpenID-Login versehene Seiten bewegt.
Wer sich also eine openID zulegen will, sollte dies am besten bei einem nicht-kommerziellen Provider tun:
http://www.myopenid.com
http://claimid.com
https://pip.verisignlabs.com
Mit Material von
spiegel.de
wikipedia
OpenID stellt eigentlich keine Identitätskarte dar, da eine OpenID nichts weiter aussagt, als dass ich Kontrolle über eine bestimmte URL habe. Über Erweiterungen wie Simple Registration und Attribute Exchange können zwar weitere Daten vom OpenID Provider übertragen werden, aber Nutzer können das unterbinden. OpenID ist definitiv kein Trust System.
Kommerzielle/Nicht-kommerzielle Provider: VeriSign PIP ist natürlich auch kommerziell, genauso wie MyOpenID.com. Es stecken Firmen dahinter, die Geld verdienen möchten. Ob sie das mit mit dem Surfverhalten der Nutzer tun, steht ggf. in den Nutzungsbedingungen und den Datenschutzerklärungen.Yahoo! unterscheidet sich da nicht von der Vorgenannten.
Jeder Nutzer kann aber auch sein eigener Provider werden. Kein Problem.
Phishing ist in der OpenID Community als Problem deutlich erkannt. Es gibt deshalb inzwischen genügend Maßnahmen dagegen. Alle im Artikel genannten Provider bieten solche Maßnahmen.
Durch die von Herrn Pötter genannten Möglichkeiten, wie man OpenID benutzen kann (Vertrauenswürdigen Provider suchen, eigener Provider werden…), wird wohl ziemlich deutlich, das OpenID nicht zwangsläufig dazu da ist, Userinformationen zu speichern und zu verarbeiten. Ich wüßte auch nicht, was Yahoo! davon hat, wenn sie wissen, das ich mich am 31.01. das letzte mal bei Ebay eingeloggt hat, denn mehr Daten bekommen sie definitiv über OpenID nicht von mir.
Natürlich ist es problematisch, wenn ein OpenID-Provider gehackt wird oder meine Zugangsdaten gephisht werden. Doch einem Problem wirkt OpenID doch ganz stark entgegen: Der Neigung und den daraus entstehenden Risiken des Users sein Passwort immer und überall einzugeben. Dinge, wie das sogenannte Passwort-Antipattern bilden da wohl das größere Risiko, da hier das Passwort sammt Username direkt beim Dienst gespeichert werden kann. Ab diesem Zeitpunkt hat der User keinerlei Kontrolle mehr über seine Daten und ist damit dem wohlwollen des Services ausgeliefert.
Bei OpenId weiß ich zumindest, wo meine Daten liegen.