OpenID

OpenID
Aktuelle Version	2.0[1] (5. Dezember 2007)
Betriebssystem	beliebig (webbasiert)
Lizenz	kostenlos nutzbar
openid.net

OpenID (englisch: offene Identifikation) ist ein dezentrales Authentifizierungssystem für Webseiten und andere webbasierte Dienste. Es erlaubt einem Benutzer, der sich bei seinem sogenannten OpenID-Provider einmal mit Benutzername und Kennwort angemeldet hat, sich nur mit Hilfe der sogenannten OpenID (einer URL, in diesem Kontext auch Identifier genannt) ohne Benutzername und Passwort bei allen das System unterstützenden Webseiten und -diensten, den sog. Relying Parties, anzumelden.

OpenID ist dezentral angelegt und setzt das Konzept der URL-basierten Identität um. Insofern ist es vergleichbar mit dem Liberty Alliance Project, ist vom System her jedoch weit weniger komplex. Gewährleistet durch die Dezentralisierung, kann jeder OpenID-Provider werden und einen OpenID-Server betreiben.

Benutzung

Grundprinzip

Für die Anmeldung mit OpenID wird eine OpenID-Identität benötigt. Eine solche Identität wird durch einen OpenID-Provider bereitgestellt. Auf Grund der dezentralen Architektur von OpenID gibt es viele verschiedene OpenID-Provider. Da das Protokoll offengelegt ist,^[2] existieren Implementierungen in vielen Programmiersprachen. Die ausschließlich unter Open Source-Lizenzen gestellte Software kann auf einem eigenen Server installiert werden. Somit ist es jedem mit relativ geringem Aufwand möglich, selbst zum OpenID-Provider zu werden. Viele Websites bieten aufgrund dieses Umstandes zu ihren User-Accounts zusätzlich je eine (oder mehrere) OpenID-Identität(en) an.

Eine OpenID-Identität hat die Form einer URL. Üblicherweise ist der Benutzername eine Subdomain des OpenID-Providers: benutzername.example.com. Einige Provider verwenden auch den Benutzernamen als Pfad in der URL: example.com/benutzername. Um mit seiner OpenID von einem spezifischen Provider unabhängig zu sein, empfiehlt es sich nach Möglichkeit eine eigene URL auf eigenem Webspace als OpenID-Identität zu verwenden. Dieses Vorgehen wird als Delegation bezeichnet.

Webseiten, die OpenID als Login-Verfahren unterstützen, können ergänzend zu dem OpenID-Login weiterhin ein klassisches Login (mit Benutzername und Passwort) anbieten oder auf ein klassisches Login verzichten. Im letzteren Fall müssen keine Funktionen wie „Passwort vergessen“ implementiert werden, und aufgrund der nicht mehr zu speichernden Benutzernamen und Passwörter entfällt der hierfür notwendige Sicherheitsaufwand auf Seiten des Websitebetreibers. Dieser Aufwand verlagert sich auf den OpenID-Provider, ist somit ebenfalls zentralisiert. Webseiten, die weiterhin mit einem klassischen Login arbeiten, müssen sich diesem Thema weiterhin widmen.

Details zur täglichen Nutzung

Eine OpenID-Identität kann bereits bei der Registrierung eines neuen Benutzerkontos bei einer Website angegeben werden, die die Anmeldung mit OpenID unterstützt. Hierbei kann der Websitebetreiber mit der sogenannten OpenID Simple Registration neun^[3] grundlegende Informationen vom OpenID-Provider erhalten (wenn der OpenID-Benutzer diesem Prozess zustimmt und die entsprechenden Informationen zuvor beim OpenID-Provider hinterlegt hat). Somit ist es nicht mehr zwingend erforderlich, bei jeder OpenID-fähigen Website im Rahmen der Registrierung etwa seine E-Mail-Adresse und seinen Namen anzugeben. Nicht immer werden von Websitebetreibern alle neun^[3] möglichen Informationen auch tatsächlich verwendet.

Bei einem vorhandenen „klassischen“ Benutzerkonto einer OpenID-fähigen Webseite ist es meist möglich, eine oder mehrere OpenID-Identitäten auch nachträglich anzugeben, oder sie später zu entfernen. Sobald eine OpenID-Identität erfolgreich mit dem Benutzerkonto verbunden wurde, kann diese anstelle der üblichen Anmeldung mit Benutzername und Passwort verwendet werden.

Für das OpenID-Anmeldeverfahren wird der Benutzer auf die Anmeldeseite des OpenID-Providers geleitet, wo die dortige Anmeldung erfolgt. Aus Sicherheitsgründen erscheint eine weitere auf die anfragende Webseite hinweisende Seite, die bestätigt werden muss. Wenn die Website, für die die Anmeldung erforderlich ist, vom Benutzer als vertrauenswürdig gekennzeichnet wurde, kann die Bestätigungsseite bei einigen OpenID-Providern deaktiviert werden, so dass sie bei weiteren OpenID-Anmeldungen nicht mehr angezeigt wird. Nach der Anmeldungsbestätigung beim OpenID-Provider wird der Benutzer im angemeldeten Zustand auf die eigentliche Website zurückgeleitet. Der Anmeldedatenaustausch kann dermaßen stattfinden, dass die Website bis zu neun Informationen des verbundenen OpenID-Kontos bei jedem Login erhält und somit immer auf dem neuesten Stand ist. Der OpenID-Benutzer muss diese Grundinformationen also nur noch beim OpenID-Provider pflegen. Der Benutzer kann auch dauerhaft seine Zustimmung zur Datenübertragung an die Website geben und muss diese dann nicht mehr bei jedem Login angeben.

Teilweise haben OpenID-Provider und OpenID-fähige Websitebetreiber zusätzlich zur Simple Registration auch das neuere OpenID-Attribute-Exchange-Protokoll zum erweiterten Datenaustausch implementiert. Dann werden die Daten übertragen, die von jeweils beiden unterstützt werden. Auch hier gilt, dass der OpenID-Benutzer die volle Kontrolle über seine Daten und deren Weitergabe hat.

Entwicklung

Das zugrundeliegende Protokoll wurde 2005 von Brad Fitzpatrick, dem Gründer von LiveJournal, entwickelt. Mittlerweile wird OpenID neben Fitzpatrick von SixApart Ltd. auch von dem zu VeriSign gewechselten David Recordon weiterentwickelt und meist zusammen mit Yadis oder XRIs verwendet.

Im Juni 2007 wurde in den USA die OpenID Foundation gegründet, deren Aufgabe die Verwaltung von Urheber- und Markenrechten sowie das Marketing ist. Das Ziel ist die Förderung der Verbreitung und der Schutz von OpenID. Im gleichen Monat wurde in Belgien die OpenID Europe Foundation gegründet, die selbiges Vorhaben in Europa betreibt.

Im Dezember 2007 wurde die Spezifikation OpenID 2.0 verabschiedet, die sowohl von einigen Providern als auch nutzenden Sites, darunter Yahoo!, mittlerweile exklusiv unterstützt wird. Bis jede Seite OpenID 2.0 unterstützt, kann daher nicht jede OpenID überall verwendet werden.

Vergleichbare Systeme, die bei höherer Komplexität mehr Funktionen bieten, sind die auf der Security Assertion Markup Language (SAML) aufbauenden Projekte Shibboleth, Liberty und CardSpace.

Die OpenID Foundation will mit dem Account Chooser den OpenID-Standarddienst ergänzen.^[4] Der Account Chooser soll vor allem einfacher zu bedienen sein.

Verbreitung

Neben unzähligen kleinen Blogs und Webportalen haben Branchenriesen den Standard implementiert und sorgen für eine weite Verbreitung. Yahoo hat eine Unterstützung realisiert, andere Firmen wie Google, IBM, Microsoft, Myspace, PayPal und VeriSign stehen ebenfalls hinter dem Standard und haben ihn teilweise bereits im Einsatz. Somit steigt die Zahl der aktiven Konten auf 368 Millionen (Stand: Januar 2008).^[5][6] Die Nutzungsmöglichkeiten dieser Konten sind zum heutigen Zeitpunkt noch eingeschränkt, da diese Anbieter ihren Nutzern zwar OpenID-URLs zuweisen, jedoch keine fremden Accounts zum Login auf ihren Seiten erlauben.

Facebook verkündete jedoch im April 2009 die vollständige Implementierung von OpenID.^[7] Mittlerweile ist es Facebook-Nutzern möglich, sich auch mit den OpenIDs beliebiger Provider zu authentifizieren. Damit steigt die potentielle Nutzerschaft von OpenID auf mindestens 500 Mio..^[8]

Google integrierte OpenID bislang lediglich für Yahoo-Kunden. Bei der Erstanmeldung wird damit keine Mail mehr verschickt, sondern es erfolgt eine Weiterleitung an den OpenID-Dienst von Yahoo.

Laut dem deutschen Bundesamt für Sicherheit in der Informationstechnik akzeptierten im dritten Quartal 2009 ca. 50.000 Websites OpenID.^[9]

Kritik

Die Technologie von OpenID ist gegenüber Phishing-Attacken anfällig. Der Grund hierfür ist die Tatsache, dass eine Weiterleitung auf die Seite des OpenID-Providers nötig ist. Als Betreiber einer Seite, die OpenID zur Anmeldung benutzt, kann man auf einfache Weise eine Weiterleitung auf eine Seite erstellen, die der Providerseite gleicht, jedoch als Proxy dient und Benutzername und Passwort an den Betreiber weiterleitet.

Für den Nutzer ist es jedoch durch die OpenID-Architektur einfacher, die Login-Seite auf Echtheit zu überprüfen, da er sich die sicherheitsrelevanten Merkmale nur einer einzigen Login-Seite merken muss, statt die von mehreren Login-Seiten, wie es ohne Single Sign-on der Fall ist. Die OpenID-Provider sorgen ebenfalls für mehr Sicherheit, indem sie etwa Cookies setzen, ein individuelles Bild zeigen, den HTTP-Referer mit der IP des Requesters vergleichen oder indem sie ein clientseitiges TLS-Zertifikat zur Authentifizierung nutzen. Insbesondere letzteres wird von immer mehr Providern unterstützt.

Siehe auch

• Identitätsmanagement
• OpenSocial
• Anonymität im Internet
• DataPortability

Weblinks

OpenID allgemein

• Offizielle Website (englisch)
• OpenID Libraries, Bibliotheken für verschiedene Programmiersprachen (englisch)
• OpenID Blog Deutschland
• OpenID Katalog – Verzeichnis der englischen Wikipedia
• Einführungsartikel zu OpenID bei heise Developer

Spezialisierte OpenID-Anbieter

• clavid.ch – Unabhängiger Schweizer OpenID-Provider, welcher verschiedene Authentifizierungs-Methoden wie Benutzername/Passwort, OneTime-Passwörter, SuisseID und den Axsionics InternetPassport (biometrisch) unterstützt
• CloudID – Deutscher OpenID-Provider mit VCard und QR-Codeunterstützung
• idproxy.net – sich mit dem Yahoo-Account bei idproxy.net einloggen und dort ein oder mehrere OpenID-Accounts erstellen
• MeinGuter.Name – OpenID-Provider
• myON-ID – deutsches Reputationsnetzwerk und OpenID-Provider
• MyOpenID – unterstützt den Login per Browser-Zertifikat oder über Windows CardSpace. Leider besteht seit längerem ein Problem bei der Generierung eines Browserzertifikats, weswegen diese Funktion derzeit nicht nutzbar ist.
• OpenID.ORG – neuer britischer OpenID-Provider
• my.xlogon.net – deutscher OpenID-Provider, multiple Identitäten, multiple Personas, nur SSL-gesichert, Anti-Phishing-Unterstützung
• VeriSign Personal Identity Provider^[10]
• yiid.com - Your Internet ID – deutscher OpenID-Provider und Community-Client, bietet Verwaltungsmöglichkeiten der eigenen Online-Identitäten

Einzelnachweise

1. ↑ OpenID: Zugangsdaten zentral und sicher im Web ablegen. Abgerufen am 21. Juli 2011. 
2. ↑ openid.net – Spezifikation (englisch)
3. ↑ ^{a b} OpenID Simple Registration 4. Response Format mit neun Parametern: nickname (Spitzname), email (E-Mail-Adresse), fullname (Bürgerlicher Name), dob (date of birth; Geburtsdatum), gender (Geschlecht), postcode (Postleitzahl), country (Land), language (Sprache), timezone (Zeitzone)
4. ↑ OpenID Foundation unternimmt neuen Anlauf. Abgerufen am 18. September 2011. 
5. ↑ Golem.de – Yahoo wird OpenID-fähig
6. ↑ TechCrunch – OpenID Welcomes Microsoft, Google, Verisign and IBM (englisch)
7. ↑ insidefacebook.com – Facebook kündigt Unterstützung für OpenID an
8. ↑ blog.facebook.com – Facebook gibt Nutzerzahlen bekannt
9. ↑ Lagebericht – 3. Quartal 2009. Bundesamt für Sicherheit in der Informationstechnik, 2009, S. 10, abgerufen am 17. Januar 2011 (PDF). 
10. ↑ Dieser Service ist komfortabel aber möglicherweise unzuverlässig, denn er war – zumindest Anfang Februar 2011 – mehrfach über mehrere Stunden nicht verfügbar. Der Server zeigte eine „Service temporary unavailable“ Nachricht.