Sonstiges

one OpenID to rule them all

Google und Yahoo haben die Unterstützung von OpenID (einem Anmeldeprotokoll zur dezentralen Verwaltung von Benutzeraccounts, um nicht bei jeder Plattform jeweils einen eigenen Benutzeraccount anmelden zu müssen, der dann auch auf dieser Plattform gespeichert würde) nicht nur zugesagt, sondern auch in die Praxis umgesetzt, wobei Yahoo wesentlich weiter als Google geht, die das lediglich auf den Blog-Service Blogger.com beschränken. Mehr dazu auf ZweiNull.cc. Das dürfte eine etwas verstärkte Signalwirkung auf kleinere und kleinste Serviceanbieter haben. So ist imho zu erwarten, dass zunehmend Forenbetreiber und SN-Anbieter OpenID zusätzlich zu eigenem eigenen Registrierungsprozess anbieten werden. Ob es dann zu einem quasi Standard wird? Schwer zu sagen, immerhin stehen dem gegenüber steigende Probleme durch Phishing-Attacken und gefakte OpenID-Server. Wer dann nur einen einzigen OpenID-Account für alle Zugänge nutzt, wird ziemlich dumm dastehen, wenn seine Kennung wie auch PW in falsche Hände geraten. Insofern wird es sich zeigen, ob Sicherheitsprobleme eine Ausbreitung verhindern werden. Auf der Anbieterseite dürfte man sich zwei Probleme einhandeln: Downtime eines OpenID-Anbieters und Änderungen am Protokoll.

Über den Autor

Robert Basic

Robert Basic ist Namensgeber und Gründer von BASIC thinking und hat die Seite 2009 abgegeben. Von 2004 bis 2009 hat er über 12.000 Artikel hier veröffentlicht.

15 Kommentare

  • Wenn ich es richtig verstanden habe, wollen die als Provider auftreten, nicht jedoch den Login mit einer fremden OpenID erlauben. Dann doch lieber bei Noserub eine OpenID registrieren, auch wenn Dirk noch kein https eingeführt hat!

  • Seit wann verhindern Sicherheitsprobleme die Ausbreitung einer neuen Technologie? Bequemlichkeit ist der entscheidende Faktor 🙁

    Und über die „Risiken“ von OpenID lässt sich trefflich diskutieren (ein OpenID-Anbieter des Vertrauens vs. 10 Userkonten bei irgendwelchen Firmen mit „recyceltem“ Passwort, Einsatz von HTTPS und Kontrolle der Adresse beim Einloggen gegen Phishing, ein wirklich starkes Passwort vs. viele leicht zu merkende, etc…

    Ich will nicht behaupten OpenID sei sicherer als das momentane System, aber so viel unsicherer dürfte es auch nicht sein.

    Ich ducke mich jetzt und lass‘ die Security-Cracks weitermachen… 🙂

  • Zu Stefan:
    IMHO ist es nicht sicherer als der normale Login, aber es erlaubt in definiertem Umfang sich schnell zu registieren bzw. sich schnell bei den einzelnen Sites anzumelden.

    Bei der ersten OpenID-Angabe pro Surf-Session muss man das Passwort beim OpenID-Provider angeben, d.h. das Verfahren wird (nach der Registierung auf einzelnen Sites) erst dann efffizient, wenn ich hintereinander mehrere anmeldepflichtige Angebote besuche.

  • Eine weitere entscheidende Frage ist, wie hoch die Motivation eines Anbieters ist. Warum sollte ein Service Logins mit OpenID zulassen? Mehr User, mehr Sicherheit…wohl kaum.

  • SSL bieten sehr viele Anbieter an: VeriSign PIP, MyOpenID.com, SignOn.com, MyVidoop, MyXlogon,…
    Shameless plug: Wer mehr über Provider wissen möchte, kann ja mal bei SpreadOpenID.org vorbei schauen.

    Yahoo! wird erst einmal nur Provider; eine Flickr URL wird ebenfalls als OpenID funktionieren.

    Auf Blogger.com kann man bereits seit Ende November Kommentare mit einer OpenID abgeben. Nunmehr ist eine Blogger bzw. Blogspot URL auch eine OpenID, d.h. sie sind auch Provider geworden.

    @Oliver: Warum nicht mehr User? Gerade Startups könnten davon profitieren, weil es einfacher wird, einen Service auszuprobieren. Mit Extensions wie Simple Registration und Attribute Exchange fällt dann auch je nach Implementierung und Wünschen des Users das lästige Ausfüllen von Profilen weg.

    Und Sicherheit? Vertraust Du Deinem Email Provider? Wie stark sind Deine Passwörter?

  • Web2.0 startups haben klar das Interesse an schnell, viele User zu bekommen. Das funktioniert aber erst dann, wenn es genügend OpenID-User gibt und diese verbreiten sich nicht bottom-up, sondern dann wenn Google, Facebook, Linkedin etc. top-down auf einen Schlag eine Mrd. OpenID-User mitbringen.
    Yahoo und Co. einzigstes Interesse dürfte das Wissen über die weiteren Services sein, welche die OpenID-User noch nutzen.

  • Muss man dann mal schauen, was in den Privacy Statements steht. Manche Provider schließen eine Auswertung dieser Daten darin ausdrücklich aus.

    Natürlich bekommt ein Startup durch OpenID nicht automatisch Massen an aktiven Nutzern. Aber aus eigener Erfahrung kann ich sagen, dass ich mich lieber mit einer OpenID bei einem neuen Dienst einlogge, um zu sehen, ob mir der zusagt, als mir wieder ein Passwort auszudenken und meine Daten einzutragen, bevor ich ihn nutzen kann.

  • Die Betreiber von OpenID haben dann ja alle Macht über die Daten der Internetnutzer weltweit, wenn sich das durchsetzt. Da melde ich mich lieber bei mehreren Seiten einzeln an…

  • Macht würde ich nicht gerade sagen, aber eine Profilbildung deiner (digitalen) Person wird sehr vereinfacht.

  • @Marco:
    Das ist es doch genau, was OpenID so sympatisch macht: Dass es nicht nur einen Provider gibt.

    Meine OpenID lautet http://stefan.waidele.info – von dort werden Anfragen an meinen _momentanen_ OpenID-Provider weitergeleitet. Wenn mir dieser irgendwann nicht mehr passt, dann wechsle ich ihn aus.

    Und meine ID bleibt trotzdem die gleiche.

    Ähnliches wird ja auch gerade für Profile und Kontaktdaten in dem Kommentaren zur „Homepage 3.0“ hier im Blog diskutiert. Ich gehe davon aus, dass da im Laufe der Woche was in Bewegung kommt.

  • Man hat z.B. mit OpenID auch den Vorteil, dass man sich den Provider aussuchen kann, der die beste Sicherheitspolicy bietet, auch biometrische Systeme oder son RSA-Stick oder SSL-Clientzertifikat sind ja denkbar.

    Zur Not kann ich immer noch meinen eigenen Provider aufmachen, wenn ich niemandem ausser mir traue.

    Ansonsten stimme ich Carsten und Stefan zu. Meine OpenID ist ebenfalls gemappt, von mrtopf.de/blog auf denjenigen, den ich gerade nutze. Und auch ich habe keine Lust mehr mich bei Services anzumelden, die das nicht unterstützen. Da müssen die schon gute Gründe haben.