raven :: online

raven :: online

OpenId – Gut oder Böse?

Gerade bekomme ich mit, dass im kommenden Drupal 6 OpenID im Core implementiert ist. Das ist dann wohl der richtige Zeitpunkt, sich mit dem Thema openID mal ein wenig näher zu beschäftigen.

Was openID ist, sagt uns, wie so oft, Wikipedia sehr gut:

ist ein dezentrales System zur Identifizierung. Das zugrundeliegende Protokoll wurde von Brad Fitzpatrick, dem Gründer von LiveJournal, entwickelt. Die Idee ist, dass Benutzer mit einem Benutzerkonto bei einem OpenID-Server sich mit diesem auf beliebigen OpenID-unterstützenden Webseiten anmelden können, ohne dass sie für jede Webseite ein eigenes Benutzerkonto und Passwort benötigen. Dabei wird das Konzept der URL-basierten Identität umgesetzt.

OpenID ist ein Single-Sign-On-System, vergleichbar mit dem Liberty Alliance Project, gewährleistet durch die Dezentralisierung – jeder kann einen OpenID-Server betreiben.

[Quelle: Wikipedia]

Das heißt also, dass ich mich mir nun nicht mehr tausend Benutzernamen und Passwörter merken muss, sondern nur noch meine openID und das dazugehörige Passwort. Die Voraussetzung ist dafür allerdings, dass der Dienst auch openID unterstützt, das ist sicher klar.
Man loggt sich also mit einer URL zu seinem openID Server und Passwort an. Das klingt sehr Benutzerfreundlich. Wie oft stehe ich vor dem Login-Formular und kenne meine Daten nicht mehr und muss sie erst langwierig anfordern.

Weitere, auch bebilderte Erklärungen findet ihr bei Ortwin und Agenturblog.

Diese Erleichterung findet nun Einzug in den Drupal Kern. Eine tolle Sache – oder?

Betrachten wir es doch mal paranoid.
Kennt jemand meine openID URL und mein Passwort, kann er sich bei zig Diensten einloggen und dort wer-weiß-was machen! Bisher hatte man einen gewissen Schutz, sofern man unterschiedliche Passwörter und/oder Benutzernamen verwendet hatte. Das wäre damit vorbei!

An eine openID URL zu kommen, ist sicher nicht schwer. Man muss nur bei Ortwin schauen, er beschreibt, wie man seine eigene URL als openID Url nutzen kann:

Da mir das jedoch nicht persönlich genug ist, habe ich den Html Header von meinem Blog mit folgendem Eintrag erweitert:

Dies hat den Vorteil, dass ich nicht mehr “kartmann.myopenid.com” auf den anderen Webseiten eintippen muss, sondern die Url von meinem Blog: “ortw.in” eingeben kann.

[Quelle: Ortwin]

Jetzt muß ich also nur Google bemühen und mal nach openid.delegate suchen. Dann kann das muntere Passwortraten losgehen.

Eine andere Problematik ist das openID Phishing. Marco geht auf seiner Webseite gut auf das Thema ein.
Phishing ist nicht ganz so leicht aber auch nicht sehr schwer. Mit der zunehmenden Verbreitung von openID dürfte das openId Phishing auch deutlich zunehmen.

openId bietet aber noch ein weiteres Problem. Da man nur noch ein Login hat, werden alle Service die man damit nutzt zentral gelogt. Sprich, der openID Provider kann ein Profil erstellen. Möchte man dies, kann man sich nun fragen – oder auch, ist das überhaupt schlimm?!
Die Frage kann ich nicht allgemein beantworten. Das muss jeder für sich tun. Ein guter Ansatz dafür ist ein Beitrag im openID Blog Germany. Hier wird das Thema durchdiskutiert. Ich denke, es ist nicht so leicht, für diese Problematik eine Antwort zu finden, geschweige denn eine Lösung.

Ein Ansatz ist sicher, sein eigener openID Provider zu sein. Ich selbst habe es derzeit noch nicht versucht, einen eigenen Server aufzusetzen aber es erscheint mir nicht all zu schwer.
Da mich das Thema aber interessiert und ich mir die Einbindung der entsprechenden Module [1] [2] in Drupal anschauen werde, kann ich in ein paar Tagen vielleicht schon ein ausführlicheres HowTo posten. Aber wahrscheinlich eher im erdfisch Blog.

Nebenbei werde ich sicher mal im openID Index stöbern und schauen, welche deutsche Seiten openID schon anbieten.

Update: Gerade finde ich auf dem Agenturblog auch einen Artikel zu Gefahren von openID

0

Leave A Comment

Your email address will not be published.

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Zustimmung zur Datenspeicherung lt. DSGVO