Universelle Identität

Sich für die unterschiedlichen Web-Dienste haufenweise Passwörter und Login-Namen merken zu müssen, könnte dank OpenID schon bald der Vergangenheit angehören. Das birgt allerdings auch gewisse Sicherheitsrisiken.

Artikel erschienen in Swiss IT Magazine 2008/03

     

Mit der Ankündigung von Yahoo, OpenID für alle Benutzer zu unterstützen, könnte dieser Standard für eine offene, bei vielen Websites verwendbare ID im Internet die kritische Masse erreicht haben – umso mehr, als Google zumindest für seine Blogs gleich nachgezogen hat.


Damit stellt sich die Frage, was OpenID eigentlich ist, was man damit machen kann und für welche Aufgabenstellungen man vielleicht doch noch andere Standards benötigt. OpenID ist ein System für die Identifizierung von Benutzern, das auf einem verteilten Ansatz basiert. Benutzer können eine ID bei einem beliebigen OpenID-Server erstellen und auf allen Websites nutzen, die OpenID akzeptieren. Es handelt sich damit um einen Single-Sign-on-Mechanismus, weil man sich nur einmal bei seinem OpenID-Provider authentifizieren muss und danach auf verschiedene Websites zugreifen kann.


Verteiltes Konzept

OpenID arbeitet also mit einem verteilten Ansatz. Es gibt inzwischen eine Reihe von OpenID-Providern, von den genannten Yahoo und Google über Verisign bis hin zu kleineren Providern. Im Grundsatz kann jeder ein Provider für OpenID werden.


Wenn man sich auf einer Site mit OpenID-Unterstützung anmelden möchte, erfolgt tatsächlich eine Authentifizierung beim Open­­ID-Provider, von dem die Identität stammt. Die «Relying Party», also das System, auf das zugegriffen wird, vertraut diesem «Identity Provider» bezüglich der korrekten Authentifizierung.
Im Rahmen der Authentifizierung können Attribute zwischen dem Identity Provider und der Relying Party ausgetauscht werden. Der Benutzer behält allerdings die Kontrolle über die Informationen, die an die Relying Party weitergegeben werden.


Blogs und Website-Registrierungen

Der erste Einsatzbereich, in dem sich OpenID verbreitet hat, waren die Blogs. Hier geht es einerseits darum, dass sich ein Blogger einfach bei verschiedenen Websites registrieren kann – meist mit minimalen Informationen wie einem Benutzernamen und einer E-Mail-Adresse. Andererseits will man auch erreichen, dass das Problem von Spam in Blogs durch automatisierte Einträge reduziert wird – und dafür ist eine Authentifizierung eben sinnvoll.



Der zweite naheliegende Einsatzbereich ist die Registrierung bei Websites. Wenn man immer wieder auf unterschiedliche Websites zugreift, muss man sich häufig einmalig dort registrieren und immer wieder authentifizieren. Zwar kann man oft mit Cookies oder den – allerdings nicht sonderlich sicheren – Kennwortmanagement-Funktionen von Browsern arbeiten. Das will aber nicht jeder. OpenID ist hier ein Ansatz, um dieses Problem zu lösen.


Offene Fragen

Dabei tauchen aber auch gleich offene Fragen auf. Die erste ist die nach der Vertrauenswürdigkeit der Authentifizierung. Wenn sich jemand mit einer OpenID anmeldet, hat er sich ja nicht auf der Website oder beim Blog registriert. Damit muss man dem Provider der OpenID vertrauen. Das wird vielfach als Kritikpunkt genannt. Tatsächlich ist es aber kein echtes Problem – im Gegenteil:


Wenn jemand beispielsweise eine Open­­ID von Yahoo verwendet, ist diese potentiell vertrauenswürdiger als das, was bei der direkten Registrierung auf einer Website eingegeben wird. Und die Alternative zu OpenID ist ja nicht eine starke Authentifizierung von Benutzern bei einem vertrauenswürdigen ID-Provider, sondern die Selbst-Registrierung auf Websites oder bei Blogs. Insofern werden die Risiken zumindest nicht grösser.
Ausserdem spricht nichts dagegen, dass ein Unternehmen selbst zum OpenID-Provider wird und beispielsweise für bestimmte Aktivitäten auf seiner Website auch nur die eigenen OpenIDs akzeptiert. Damit wäre das Konzept zwar nicht mehr sonderlich offen – denkbar ist es aber.




Anders sieht es mit dem Vertrauen der Benutzer aus. Denn bei der Nutzung von OpenIDs erfolgt eine Kommunikation zwischen der Relying Party und dem Identity Provider. Damit weiss der Identity Provider, auf welche Websites mit OpenID-Unterstützung ein Benutzer zugreift. Das kann man zwar dadurch umgehen, dass man sein eigener OpenID-Provider wird. Das setzt aber doch ein bisschen mehr Sachkenntnis voraus und führt ausserdem dazu, dass man eben selbst kaum als sonderlich vertrauenswürdiger OpenID-Provider angesehen wird, weil man eben doch ziemlich unbekannt ist, im Vergleich beispielsweise zu Yahoo, Google oder Verisign.



Ein generelles Problem bei OpenID ist das relativ geringe Sicherheitsniveau. So besteht das Risiko von Man-in-the-middle-Attacken. Und nicht alle OpenID-Provider sind wirklich sicher, was sich schon daraus ergibt, dass eben potentiell jeder zu einem OpenID-Provider werden kann. Allerdings ist das eine häufige Situation bei neueren Standards. Und genau daran wird auch intensiv gearbeitet.


Die Akzeptanz

Zudem ist OpenID trotz der neuen Unterstützung durch Yahoo und Google – man spricht inzwischen von über 350 Millionen OpenID-Accounts weltweit – immer noch ein neues Verfahren, das ausserhalb der Blog-Dienste nur bei relativ wenigen Websites und Internet-Diensten für die Registrierung unterstützt wird. Das wird sich aber ändern.


Zum einen gibt es eben den Wettbewerbsdruck, der heute schon besteht und der bei der schnellen Reaktion von Google auf die Ankündigung von Yahoo zu erkennen war. Zudem gibt es bereits seit Anfang 2007 eine Übereinkunft zwischen mehreren der treibenden Kräfte hinter OpenID und Microsoft bezüglich der Inter­operabilität zwischen OpenID und Microsofts CardSpace sowie dem dahinter stehenden Konzept der Infocards. So wird Microsoft zukünftig auch OpenID als Standardfunktionalität in Windows unterstützen. Ausserdem wird Microsoft auch bei der Adressierung von Sicherheitsrisiken in OpenID helfen.



Im Gegenzug sollen die Infocards bei dem Austausch von erweiterten Attributen, mit denen Informationen zu Benutzern zwischen den Identity-Providern und den Relying Parties unterstützt werden, ebenfalls genutzt werden können. Diese Zusammenarbeit ist, neben der breiten Akzeptanz sowohl von OpenID sowie der Infocards auch im Open-Source-Lager, der Grund dafür, dass sehr viel dafür spricht, dass sich diese beiden Ansätze durchsetzen – auch in kombinierter Form.
OpenID adressiert ein Problem, mit dem jeder Benutzer im Internet praktisch täglich konfrontiert ist. Und es ist die Lösung mit der grössten Akzeptanz und der breitesten Unterstützung, so dass der Erfolg doch sehr wahrscheinlich ist.


Neue Geschäftsmodelle?

Eine interessante Frage im Zusammenhang mit OpenID ist die nach den Geschäftsmodellen. OpenID-Provider können natürlich poten­tiell die Informationen über besuchte Websites für gezieltere Werbung oder andere Formen der Informationsbereitstellung nutzen. Allerdings könnte ein solches Modell auch genau zum Akzeptanzproblem werden.
Auf der anderen Seite gibt es auch Herausforderungen durch OpenID und andere Ansätze wie eben CardSpace.

Denn wenn beispielsweise ein Internet-Provider bisher das Geschäftsmodell verfolgte, durch das Authentifizieren von Benutzern Geld zu verdienen, so dass andere Anbieter der Authentifizierung vertrauen können, kann er das mit OpenID in dieser Form nicht mehr machen. Denn jeder kann der OpenID vertrauen, auch ohne Geschäftsbeziehung mit dem Internet-Provider. Solche geschlossenen Plattform- und Identity-Provider-Modelle dürften auf Dauer daher an Bedeutung verlieren. Man darf gespannt darauf sein, durch welche anderen Ansätze sie abgelöst werden.


OpenID heute - für wen?

Heute geht es aber noch nicht um eigentliches Business auf Basis von OpenID, sondern vor allem um die einfachere Registrierung für Blogs und Websites. Hier macht OpenID Sinn. Bis es auch in sensibleren Einsatzbereichen mit höheren Privacy-Anforderungen oder kommerziellen Transaktionen genutzt wird, wird sicher noch etwas Zeit ins Land gehen, in der sich die Standards weiter entwickeln und auch unterschiedliche Gruppen von Providern mit unterschiedlichem Vertrauensgrad sich herauskristallisieren werden. Eines erscheint aber sicher: OpenID wird sich durchsetzen – auch wenn es in zwei oder drei Jahren vielleicht ein gutes Stück gereift und verändert sein wird.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER