5 Gründe warum OpenID oft falsch verstanden wird
Die Idee eines globalen Webaccounts ist sehr charmant. Der Internetuser soll dadurch endlich von den lästigen Registrier– und Loginprozessen befreit werden – und wer sollte davon nicht begeistert sein?
Das in letzter Zeit heftig diskutierte OpenID hat das Zeug eine Art Standard für Webaccounts zu werden – wenn die vielen Missverständnisse nicht wären. Welche sind das?
1. Zu technisches Verständnis
Das Verständnis von OpenID ist bisher sehr technisch geprägt. Wenn von OpenID berichtet wird, dann meistens mit sehr technischen Ausführungen in Programmierersprache.
Das zeigt sich am Besten daran, dass Wikipedia den OpenID-Artikel mit dem bekannten Zusatz: „This article may be too technical for a general audience.“ zur verständlicheren Überarbeitung vorschlägt. Bis auf wenige Ausnahmen berichtet fast niemand über den enormen Nutzen für die Unternehmen und für globale Marketingabteilungen. Gerade in diesen innovativen Bereichen muss aber Interesse und Verständnis für OpenID geweckt werden.
2. Wenig seriöse Dienste
Dienste wie „Free, Anonymous OpenID“ sind auf der einen Seite zwar ganz nett, aber bringen OpenID für eine seriöse Verbreitung nicht gerade weiter. Solche Dienste stellen einen OpenID-Server zur Verfügung welcher Pseudo-IDs ohne Passwort vergibt. Damit kann man sich dann anonym an jedem Dienst der OpenID unterstützt anmelden. Damit eröffnet man potentiellen menschlichen und automatisierten SPAMern erneut die Türe. Und dies, obwohl eine der ursprünglichen Kernideen von OpenID war, dem lästigen Kommentarspam in Blogs, Wikis und Foren endlich Einhalt zu gebieten.
3. Der Klassiker: Phising
Mittlerweile der Klassiker bei fast allen Diensten rund um Authentifizierung und Autorisierung im Web ist das Phisingrisiko. In der Tat ist das Protokoll durch relativ anfällige HTTP-GET und HTTP-REDIRECT Aufrufe implementiert.
Im OpenID Protokoll selbst sind neben der Verschlüsselung nach Diffie-Hellmann auch Vorkehrungen mit zeitabhängigen Handles getroffen. Dass Phising dennoch möglich ist zeigte letzte Woche der Identity-Papst Kim Cameron in seinem Video hier. Dazu muss man wissen, dass Kim Cameron auch die Aufgabe hat die vorgestellte Phisinglösung CardSpace aus dem Hause Microsoft zu promoten. In der Tat werden Phisingangriffe in Kombination OpenID und CardSpace nahezu unmöglich.
4. Privacy und zentrale Datenhaltung
Wie immer wenn es um die zentrale Speicherung von Personendaten geht, schreien die Stasi 2.0-T-Shirtäger auf. Zurecht weist z.B. der IdentityCamp Veranstalter Benrath darauf hin, dass ein Identity Provider weiß welchen Webdienst der OpenID-User zu welchem Zeitpunkt benutzt hat. Überwachung und Kontrolle des Webusers wäre somit sehr einfach möglich.
Die notwendige Differenzierung wird in diesem Punkt leider gänzlich vernachlässigt. So ist OpenID gerade eine von mehreren Möglichkeiten den Betreibern eben keine zentrale Kontrollmöglichkeit zu geben. Der Webuser selbst entscheidet nämlich wann er welchem OpenID-Provider sein vertrauen schenkt. Diese Entscheidungsfreiheit gab es bisher mit noch keiner anderen Lösung.
Blickt man auf das klassische Enterprise Identity Management, so wären IT-Abteilungen froh wenn sie die zentrale Kontrolle über die unternehmensweiten Identitäten hätten. Schließlich sind diese durch unterschiedliche -teils internationale- Gesetze dazu gezwungen nachzuweisen wer, wann, auf welchen Dienst warum Zugriff hatte (Compliance).
Mit bisherigen Lösungen zum Identity Management werden IT-Abteilungen im Umfeld von SaaS und verteilten Services über kurz oder lang erneut die Kontrolle verlieren. Mit föderierten Prinzipien wie OpenID ist es dem Unternehmen möglich die Identitäten zentral zu kontrollieren und dezentral zu nutzen. Das was also bei Web Identity als Fluch angeprangert wird ist im Enterprise Identity ein sehr willkommener -aber totgeschwiegener- Segen.
5. Missverständliche Kommunikation
Die Schwierigkeit bei OpenID ist zu verdeutlichen, für was es gut ist und für was nicht. Für diesen häufig zitieren Anspruch des alleinigen Web Ausweises für Internet-User ist OpenID schlicht weg zu „dünn“. Es geht immer um Authentisierung und Autorisierung, also festzustellen um wen es sich bei dem User handelt und was er machen darf.
OpenID adressiert nur den ersten Teil, also die Authentisierung und überlässt die Autorisierung neuartigen Protokollen wie z.B. OAuth. Häufig wird dies von Autoren nicht richtig verstanden und dann in Berichten falsch dargestellt. OpenID wird somit für etwas kritisiert, was es gar nicht ist. OpenID wird erst dann zum sicheren Web Ausweis wenn es mit anderen -spannenden Identity 2.0- Ideen verknüpft wird. Z.B. CardSpace, Zertifikate oder eben OAuth.
Links:
- Diskussionsgruppe OpenID
- Probleme, Lösungswege und Zukunft bei OpenID
- OpenID – Warum Delegation wichtig ist
