43 VIEWS

Sieben Argumente für und gegen OpenID

21.03.2007

Nach den verheissungsvollen Ankündigungen einiger grosser Provider künftig das URL-basierte Authentifizierunssystem OpenID unterstützen zu wollen, kommt auch hierzulande das Thema User-Centric Identity mächtig in Fahrt. So hat erst jüngst Digg (in USA sehr bekannte „social news site“), Wikipedia, Yahoo! und zuletzt auch AOL angekündigt, ihren Nutzern einen einfachen Login für alle Webdienste anzubieten. Nahezu über Nacht kommen so ca. 63 Millionen AOL-User in den Genuss, sich bei fast beliebigen Webdiensten mit ihrem bekannten Login anzumelden.

Möglich macht dies OpenID, welches sich zusammen mit Microsofts CardSpace aktuell zum „Quasi-Standard“ für dezentralisierte Authentifizierungsverfahren im Web (Web Single Sign-On) entwickelt. Zumahl sich CardSpace und OpenID ergänzen und Bill Gates höchst persönlich die Unterstützung von OpenID bestätigte.

Für uns jedenfalls höchste Zeit ein paar Aspekte zu betrachten was für und was noch gegen OpenID spricht:

Was spricht für OpenID?

Web Single Sign-On für Webdienste wie z.B. Blogs oder Foren.

SPAM-Einträge in Kommentarfelder sind nicht mehr möglich.

Verifizierung wer Kommentar abgibt. Fakeeinträge werden damit reduziert.

Dezentralisiertes System. D.h. keine Abhängigkeit von einem einzelnen Betreiber, Eigentümer oder Firma für die Authentifizierung. Im dezentralisierten System kann jeder Webseitenbetreiber ein OpenID-Provider darstellen. Somit entfällt die Abhängigkeit von einer zentralen Stelle, welche die Authentifizierung vornehmen muss.

Desktop support durch Vista, .NET 3.0, Internet Explorer 7.x und Firefox 3.x.

Grosse Wahrscheinlichkeit, dass künftig keine zusätzliche Registrierung notwendig ist. AOL, Wikipedia,  Digg, Yahoo und sicher noch einige weitere „grosse“ Provider  „wandeln“ existierende Logins in OpenID-Logins um.

Leichte Verwaltung von mehreren Identitäten und einfachere Entwicklung neuer Seiten, da der Namespace für die Identitäten bereits besteht.

Wo gibt es noch offene Fragen?

Bisher existiert noch zu wenig Unterstützung von Frameworks und CMS. Eigene Implementierungen des Protokolls sind noch zu aufwändig und zu schwierig.

OpenID ist nicht für hoch sichere Anwendungen gedacht, da immer noch gesnifft und zu gewissen Teilen gephisht werden kann. Fake OpenID´s sind genauso möglich wie gefakte Identity Provider. Allerdings hängt dies auch vom Identity Provider selbst ab. Bietet dieser nämlich eine starke Authentifizierung via Smartcard oder PKI, ist OpenID genauso sicher wie das zugrundeliegende Authentifizierungssystem.

Einige Implementierungen sind Hacks. Z.B. werden im WordPress-Plugin immer noch lokale User angelegt.

Konfuses „Seitenhandling“. Der Login-Prozess erfordert durch den Redirekt auf die Webseite zum Identity Provider einen Seitenwechsel. Dies ist nicht sehr benutzerfreundlich und der Benutzer ist bisher gewohnt auf der Seite, auf der er sich anmeldet zu bleiben.

Die Anonymität geht verloren, wenn für jeden Service eine (dann zwar einfache) Authentifizierung notwendig ist.

OpenID ist nicht einfach zu erklären, technisch sind die die Vorgänge nicht ganz trivial.

Ist ein OpenID-Provider nicht verfügbar, kann der User mit der identischen ID nicht einfach zu einem anderen Provider wechseln. Konzepte für Ausfallmechanismen um eine Hochverfügbarkeit sicherstellen zu können, fehlen noch völlig.

Zurück zur Übersicht

Ein Kommentar zur “Sieben Argumente für und gegen OpenID

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*Pflichtfelder

*