OpenID

Wer kennt das Problem nicht: Zig verschiedene Benutzerkonten mit zig verschiedenen Paßwörtern. Einen Account bei MSN, einen bei Yahoo, einen bei Google, einen bei Lycos, einen für ICQ, einen für Skype, einen für Ebay, einen für Amazon, einen für diesen Blog hier, usw., usf. Je mehr Dienste und verschiedene Webangebote man im Internet nutzt, desto mehr Benutzernamen und Paßwörter muß man sich merken. Die meisten Leute behelfen sich damit, daß sie nach Möglichkeit immer einen identischen Benutzernamen und immer dasselbe Paßwort wählen, um anschließend die Daten im Browser zu speichern (sie also nicht jedesmal wieder neu eingeben zu müssen), was aber aus Sicherheitsgründen nicht besonders klug ist.

Dabei muß das gar nicht sein, es gibt im Internet inzwischen Ansätze wie z.B. OpenID, bei denen man mit ein- und derselben Benutzer-Paßwort-Kombination überall hineinkommt, sofern der Anbieter der Website auch OpenID unterstützt (dazu kommen wir noch).

Man registriert sich zunächst kostenlos eine OpenID auf Seiten die den Service anbieten (was inzwischen einige sind). Der Benutzername ist dabei immer eine URL. WordPress.com bietet z.B. OpenID an, so daß die URL des blogSquads (den ich ja registriert habe), http://blogsquad.wordpress.com/, gleichzeitig meine OpenID ist (zusammen mit meinem Paßwort). Jetzt kann ich mich als "blogsquad.wordpress.com" z.B. auch beim Fotodienst "Zooomr" anmelden, da dieser ebenfalls OpenID unterstützt -- und das, obwohl WordPress.com und Zooomr.com zwei völlig unterschiedliche Anbieter sind, die nichts miteinander gemein haben, außer, daß sie beide OpenID unterstützen.

Jeder Website-Anbieter kann auf seiner Site einen OpenID-Service einrichten, der es anschließend Besuchern der Website ermöglicht sich mit ihrem jeweiligen OpenID-Account dort einzuloggen. Allerdings hat das System noch Macken, nicht jeder OpenID-Anbieter kann einen reibungslosen Service garantieren. Da WordPress.com als OpenID-Anbieter so seine Tücken hat, nehmen wir den bekanntesten und ausgesprochen soliden OpenID-Anbieter MyOpenID als weiteres Beispiel:

Ich registriere mir als erstes einen Account auf MyOpenID als http://bloomsday.myopenid.com/ (etwas verwirrend, obwohl es aussieht wie ein Link, ist es tatsächlich ein Benutzername). Dazu muß ich wie bei jeder Registrierung auch ein Paßwort wählen und meine Emailadresse angeben, zu der ich eine Bestätigungs-Email gesandt bekomme. Nach dem Klicken auf den Bestätigungs-Link ist die Registrierung abgeschlossen.

Nun besuche ich den Social Bookmarking-Anbieter Ma.gnolia.com, um mir dort einen Account einzurichten. Ich richte natürlich keinen neuen ein, sondern logge mich einfach mit meiner OpenID ein. Ich gebe also http://bloomsday.myopenid.com/ als OpenID-URL an, werde auf die MyOpenID.com Seite umgeleitet (da dies ja mein OpenID-Provider ist, es könnte z.B. auch WordPress.com sein), gebe mein Paßwort ein, und werde auf Ma.gnolia.com als eingeloggt zurückgeleitet. Natürlich läuft das beim ersten Mal nicht völlig reibunglos, denn ich hatte bei MyOpenID.com vergessen meine Standard-Email-Adresse und meinen Standard-Nickname anzugeben. Nachdem das nachgeholt ist, bin ich endlich bei Ma.gnolia.com als bloomsday.myopenid.com eingeloggt.

Nun wiederhole ich das Prozedere beim Fotodienst Zooomr.com, wo ich meine OpenID ebenfalls verwenden kann. Auch hier will Zooomr beim ersten Login von mir noch mal eine Email-Adresse, Vor- und Nachnamen, sowie einen Nickname. Nachdem das erledigt ist, kann ich aber auch hier mit meiner OpenID (http://bloomsday.myopenid.com/) ein- und ausgehen.

Ich mußte also sowohl Ma.gnolia.com als auch Zooomr.com ein paar Informationsbrocken hinwerfen, die zentrale Information, das Kennwort zu meiner OpenID-URL erfahren sie jedoch nie, das bleibt ausschließlich bei meinem OpenID-Provider, über den der Login jedesmal abläuft, hinterlegt. In meinem Fall also bei MyOpenID.com. Auch aus datenschutztechnischer Sicht macht das Konzept also durchaus Sinn.

Natürlich haben die etablierten Anbieter nicht unbedingt ein Interesse daran, daß es autonome Account-Datenbanken gibt, die sich ihrer Kontrolle entziehen. Wer einen MSN-Service nutzen will, der muß sich eben auch einen Account bei MSN registrieren (der dann nur bei MSN funktioniert, für Ebay brauch ich schon wieder einen anderen Account, usw.). Meistens sind es daher eher weniger bekannte Websites, die auf OpenID setzen, weil so die Chance besteht, zusätzliche Nutzer zu gewinnen. Ist der Anbieter dagegen schon sehr bekannt und hat viele Nutzer, hat er das nicht mehr nötig, er hat eine eigene Community und versucht die Nutzer an sich zu binden. Ein OpenID-System wäre hier kontraproduktiv, da es den Nutzern den Wechsel zur Konkurrenz vereinfacht. Ob sich also ein System wie OpenID jemals durchsetzen wird, ist noch ungewiß.

Es gibt jedoch einen Trend, daß Account-Anbieter ihren Account-Dienst selbst auslagern, der OpenID-Idee sozusagen Konkurrenz machen. So bietet Microsoft seit kurzem die Möglichkeit, daß Dritte das "Windows Live ID"-System (ehemals "Passport") nutzen können (heise online, 17.08.07). Jeder Betreiber einer Website kann also jetzt bei sich einen Login mit einem MSN-Account ermöglichen. Die Website muß nichts mit MSN zu tun haben, MSN erlaubt es einfach nur, daß User die bereits einen MSN-Account haben (und es gibt zur Zeit rund 400 Millionen registrierte Live IDs) sich darüber auf der Website des Drittanbieters einloggen können, um dessen Angebot zu nutzen. Die Paßwort-Infos verbleiben bei MSN, der Drittanbieter erfährt sie nicht, hat aber jetzt einen großen potentiellen Kundenstamm. MSN kann umgekehrt natürlich "Bewegungs-Profile" erstellen: wer besucht mit seinem MSN-Account welche Seite eines Drittanbieters.

Microsoft/MSN vesucht also seine starke Position bei den Identifikationssystemen weiter auszubauen, indem sie das eigene ID-System für Dritte auf deren Websiten nutzbar machen. Der Unterschied zu OpenID ist nur, daß ich mir bei OpenID meinen Provider selbst suchen kann (genauso übrigens wie bei Jabber als IM-System). Ich kann frei wählen, ob ich meine Daten WordPress.com, LiveJournal.com, MyOpenID.com oder irgend einem anderen OpenID-Provider anvertraue. Und egal, wo ich meine OpenID registriere, ich kann mich anschließend in jede Website einloggen, die OpenID unterstützt. Bei MSN kann ich mich künftig auch auf jede Seite einloggen, die das MSN-System nutzt, habe aber diese freie Provider-Wahl nicht, ich muß mich immer bei live.com registrieren und meine Daten immer MSN überlassen. Das System ist somit nicht wirklich frei, sondern geschlossen; die Abhängigkeit von MSN bleibt bestehen bzw. wird ausgebaut.

Wer sich für das Thema OpenID interessiert, sollte mal einen Blick in das "OpenID Directory" werfen. Hier werden Seiten gelistet, die OpenID bereits heute unterstützen. Wie berichtet sind dies meist "Underground"-Sites, die wenig bekannt sind. Was aber ja nicht heißen muß, daß deren Angebote schlechter sind als vergleichbare Angebote von bekannteren Anbietern.

In jedem Fall lohnt es sich, sich mal eine eigene OpenID auf Websites wie z.B. MeinGuterName oder MyOpenID zu registrieren, um anschließend mal ein paar Portale auszuprobieren, die bereits einen Login via OpenID unterstützen.