Openid

OpenID
Basisdaten
Betriebssystem:	beliebig (webbasiert)
Kategorie:	Single Sign-On
Lizenz:	kostenlos nutzbar
openid.net

OpenID (engl.: offene Identifikation) ist ein sogenanntes Single-Sign-On-System für Webseiten und andere webbasierte Dienste. Es erlaubt es einem Benutzer, der sich bei seinem sogenannten OpenID-Provider einmal mit Benutzername und Kennwort angemeldet hat, sich nur mit Hilfe der sogenannten OpenID (einer URL) ohne Benutzername und Passwort bei allen an das System angeschlossenen Webseiten und -diensten anzumelden.

OpenID ist dezentral angelegt und setzt das Konzept der URL-basierten Identität um. Insofern ist es vergleichbar mit dem Liberty Alliance Project, ist vom System her jedoch weit weniger komplex. Gewährleistet durch die Dezentralisierung kann jeder OpenID-Provider werden und einen OpenID-Server betreiben.

Benutzung

Für die Anmeldung mit OpenID wird eine OpenID-Identität benötigt. Eine solche Identität wird durch einen OpenID-Provider bereitgestellt. Durch die Dezentralität dieses Protokolls kann durch die Einrichtung einer entsprechenden Software auf einem eigenen Server ebenfalls eine Identität erstellt werden. Weiterhin stellen verschiedene Websites für ein Benutzerkonto ebenfalls eine OpenID-Identität zur Verfügung.

Eine OpenID-Identität hat die Form einer URL. Üblicherweise ist der Benutzername eine Subdomain des OpenID-Providers: benutzername.provider.tld. Einige Provider verwenden auch den Benutzernamen als Pfad in der URL: provider.tld/benutzername.

Eine OpenID-Identität kann bereits bei der Registrierung eines neuen Benutzerkontos bei einer Website, die die Anmeldung mit OpenID unterstützt, angegeben werden. Bei einem vorhandenen Benutzerkonto ist es möglich die OpenID-Identität nachträglich anzugeben. Sobald die OpenID-Identität dem Benutzerkonto hinzugefügt ist, kann statt der üblichen Anmeldung mit Benutzername und Passwort die OpenID-Identität verwendet werden.

Bei der Anmeldung mit OpenID auf einer Webseite wird der Benutzer auf die Anmeldeseite des OpenID-Providers weitergeleitet. Dort erfolgt die Anmeldung und die Bestätigung der Anmeldung. Die Bestätigung der Anmeldung erfolgt aus Sicherheitsgründen. Wenn die Website, auf der die Anmeldung erforderlich ist, als vertrauenswürdig eingetragen ist, kann die Bestätigungseite bei einigen OpenID-Providern auch deaktiviert werden. Nach der Bestätigung der Anmeldung erfolgt die Weiterleitung zurück auf die Website für die sich der Benutzer angemeldet hat. Dort ist der Benutzer nun angemeldet.

Entwicklung

Das zugrundeliegende Protokoll wurde 2005 von Brad Fitzpatrick, dem Gründer von LiveJournal, entwickelt. Mittlerweile wird OpenID neben Fitzpatrick von SixApart Ltd. auch von dem zu VeriSign gewechselten David Recordon weiterentwickelt und meist zusammen mit Yadis oder XRIs verwendet.

Im Juni 2007 wurde in den USA die OpenID Foundation gegründet, deren Aufgabe die Verwaltung und Regelung von Markenrechten und Marketing ist. Das Ziel ist die Förderung der Verbreitung und der Schutz von OpenID. Im gleichen Monat wurde in Belgien als Gegenstück die OpenID Europe Foundation gegründet

Im Dezember 2007 wurde die Spezifikation OpenID 2.0 verabschiedet^[1], die von einigen Providern als auch nutzenden Sites, darunter Yahoo!, mittlerweile exklusiv unterstützt wird. Bis jede Seite OpenID 2.0 unterstützt, kann daher nicht jede OpenID überall verwendet werden.

Vergleichbare Systeme, die bei höherer Komplexität mehr Funktionen bieten, sind die auf der Security Assertion Markup Language (SAML) aufbauenden Projekte Shibboleth, Liberty und CardSpace.

Die generellen Vor- und Nachteile aller Single Sign-On-Systeme sind auch bei OpenID vorhanden.

Verbreitung

Neben unzähligen kleinen Blogs und Webportalen haben Branchenriesen den Standard implementiert und sorgen für eine weite Verbreitung. Yahoo hat eine Unterstützung realisiert, andere Firmen wie Google, IBM, Myspace und Microsoft stehen ebenfalls hinter dem Standard und haben ihn teilweise bereits im Einsatz. Somit steigt die Zahl der aktiven Konten auf 368 Millionen (Stand: Januar 2008).^[2][3] Die Nutzungsmöglichkeiten dieser Konten sind zum heutigen Zeitpunkt noch eingeschränkt, da die großen Anbieter ihren Nutzern zwar OpenID URLs zuweisen, jedoch keine fremden Accounts zum Login auf Ihren Seiten erlauben.^[4]

Kritik

Die Technologie von OpenID ist gegenüber Phishing-Attacken anfällig. Der Grund hierfür ist die Tatsache, dass eine Weiterleitung auf die Seite des OpenID Providers nötig ist. Als Betreiber einer Seite, die OpenID zur Anmeldung benutzt, kann man auf einfache Weise eine Weiterleitung auf eine Seite erstellen, die der Providerseite gleicht, jedoch als Proxy dient und Benutzername und Passwort an den Betreiber weiterleitet.^[4] Die OpenID-Provider können dies umgehen, indem sie etwa Cookies setzen, die ein individuelles Bild zeigen oder indem sie ein clientseitiges TLS-Zertifikat zur Authentifizierung nutzen. Insbesondere letzteres wird von vielen Providern unterstützt.

Siehe auch

• Identitätsmanagement
• OpenSocial
• Anonymität im Internet
• DataPortability

Einzelnachweise

1. ↑ openid.net - Spezifikation (englisch)
2. ↑ Golem.de – Yahoo wird OpenID-fähig
3. ↑ TechCrunch – OpenID Welcomes Microsoft, Google, Verisign and IBM
4. ↑ ^{a b} idcorner.org - The problem(s) with OpenID (eng)

Weblinks

• Offizielle Website (englisch)
• OpenID Source (englisch)
• Bibliotheken für verschiedene Programmiersprachen
• OpenID Blog Deutschland
• OpenID Katalog - Verzeichnis mit deutschsprachigen Webseiten
• OpenID Europe Foundation (eoo), Non-Profit-Organisation zur Förderung von OpenID in Europa (englisch)

OpenID-Anbieter

• clavid.ch - Unabhängiger Schweizer OpenID-Provider, welcher verschiedene Authentifizierungs-Methoden wie Benutzername/Passwort, OneTime-Passwörter, Schweizer PostZertifikate und den Axsionics InternetPassport (biometrisch) unterstützt.
• EEnga/OpenID - OpenID Provider mit Fokus auf einfache Handhabung und Anbindung an FaceBook
• idproxy.net/ - sich mit dem Yahoo-Account bei idproxy.net einloggen und dort ein oder mehrere OpenID-Accounts erstellen
• MeinGuter.Name - Deutscher OpenID-Provider, SSL-gesicherte Verbindungen
• MyOpenID - unterstützt den Login per Browser-Zertifikat oder über Windows CardSpace
• VeriSign Personal Identity Provider
• my.xlogon.net - deutscher OpenID-Provider, multiple Identitäten, multiple Personas, nur SSL-gesichert, Anti-Phishing-Unterstützung