OpenID — der Pass für Websites

Wenn von OpenID (offene Identifikation) die Rede ist, hört man häufig von folgenden anschaulichen Vergleich: Wenn man sich heute in einer Website ein Login einrichtet, dann ist das als ob man für jedes Land, in das man einreist, sich einen extra Pass erstellen lassen müsste. Mit dem OpenID-Standard erhält man einen Zugang für alle Websites. Das Schlagwort hierzu ist single sign-on (Einmalanmeldung) und bedeutet, dass ein Benutzer nach einer einmaligen Authentifizierung auf alle Anwendungen zugreifen kann, ohne sich erneut anmelden zu müssen.

Zukünftig lässt man sich vom OpenID-Provider der Wahl eine OpenID in Form einer URL ausstellen, loggt sich am Beginn des browsens bei dem Provider ein und muss sich nie mehr wieder bei einer Website authentifizieren. Bei manchen Implementationen kann sogar mittels SSL-Zertifikate das einmalige Login entfallen und der Browser übernimmt die Authentifizierung bei den unterschiedlichen Websites völlig selbstständig. Durch die Wahl seines OpenID-Providers hat der Nutzer selbst in der Hand, wieviel Sicherheit und Usability die eigene Authentifizierung haben soll.

Es gibt zwei Wege an eine OpenID zu gelangen:

1. über einen OpenID-Provider
2. über Dienste, die OpenID unterstützen (Yahoo, Google, Wordpress, Flickr, AOL, …)

Schon bei der Registrierung bei einer Website kann die OpenID zum Einsatz kommen. Hier kann sich die Website beim OpenID-Provider die Daten zum Nutzer abholen. Die Registrierungsdaten müssen nicht ständig neu eingegeben werden. Der Datenaustausch kann auch bei späteren Besuchen zugelassen werden. So reicht es aus, die eigenen Daten an einer zentralen Stelle zu pflegen.

Beim einem Anmelden bei einer Website mit OpenID-Identität wird der Nutzer zur Anmeldeseite seines OpenID-Providers weitergeleitet. Hier erfolgt die Anmeldung und der Nutzer wir zur Ursprungswebsite zurück geleitet und ist dort angemeldet. Eine solche Anmeldung beim OpenId-Provider ist nur einmal pro Sitzung erforderlich.

OpenID ist schon weit verbreitet und viele von uns haben vielleicht schon eine OpenID, die sie jedoch noch nicht nutzen, denn Yahoo, Google, IBM, Microsoft, Myspace, PayPal, VeriSign stehen ebenfalls hinter dem Standard und haben ihn teilweise bereits im Einsatz.So kann man Logins bei Google oder Microsoft beispielsweise als OpenID verwenden, um sich bei anderen Websites einzuloggen.

Die Vorteile im Gewinn an Nutzerfreundlichkeit liegen klar auf der Hand. Gravierendster Nachteil ist die Anfälligkeit für Phishing-Attacken. Bei einer Website, die OpenID zur Anmeldung unterstützt, kann die Weiterleitung auf die Anmeldeseite des OpenID-Providers durch die Betreiber oder Hacker auf eine optisch ähnliche Seite erfolgen. Hier können dann die Anmeldedaten des Nutzers abgefangen werden und dadurch Zugang zu allen Konten des Nutzers erhalten werden.

Für uns als Agentur hat die OpenID den Vorteil, dass wir uns mit der Sicherheit von Logins nicht mehr befassen müssen, weil dies zu den OpenID-Providern ausgelagert wird.  Und dabei gibt es einiges zu beachten (siehe auch der Artikel über sichere Logins). Bei unseren Webprojekten wird die Registrierungs und Anmelde-Prozedur einmal nach dem OpenID-Standard implementiert. Nur der Open-Id-Provider muss seine Anmeldeprozedur ständig auf den neusten Stand der Technik bringen. Auf der anderen Seite ist die Authentifizierung der auf OpenID basierenden Websites nur so gut wie der schlechteste OpenID-Provider.

Benutzen Sie schon eine OpenId?

Links zum Thema OpenID

• OpenID Foundation
• Liste von Seiten, bei denen ein Login mit OpenID möglich ist.
• Liste von OpenID-Providern.
• Open Web Podcast 2 » Website » MP3 „Die OpenID Einführung”
• Reihe über OpenID auf dem Agenturblog von Oliver Wagners

Ähnliche Artikel:

• Sichere Logins
• richtig gute Podcast Episoden für Webentwickler
• Verschlüsselung von E-Mails
• IT-Sicherheit — Motivation
• Gestaltung von Web-Shops