OpenID – Gefahren und ungelöste Probleme

O

Nachdem ich in den vergangenen Tage viele der positiven Ansätze von OpenID vorgstellt habe, möchte ich heute kurz die andere Seite der Medaille mit Euch besprechen: Es gibt zahlreiche echte Gefahren, kalkulierbare Risiken und grundsätzliche Fragestellungen. Aber der Reihe nach…

Wo liegen die Gefahren bei OpenID?
Zunächst muss man sich nochmal die Vorteile von OpenID vergegenwärtigen. In einem möglichen Zukunftsszenario könnten wir alle ein zentrales Login nutzen, mit dem wir flexibel von einem Produkt zum anderen wechseln können, dabei unsere Stammdaten ganz selbstverständlich mitnehmen – alle Türen stehen uns offen. Idealerweise wird vielleicht irgendwann unser Netzwerk ein Teil unserer offenen ID. Klasse. Nun haben wir einen Schlüssel, der alle Türen für uns öffnet. Was aber wenn….

  • … dieser Schlüssel in falsche Hände gerät? Auf einma kann jeder auf alle meine Daten im Web zugreifen
  • … mein OpenID Anbieter Unfug mit meinen Daten treibt? Diese schlimmstenfalls verkauft? Inklusive meines Nutzungsprofils? Und meines Netzwerkes?
  • … Regierungsnahe stellen den Zugriff auf verdächtige (read: alle) Accounts erzwingen?
  • Mein OpenID Anbieter den Dienst einstellt?

Diese Liste lässt sich vermutlich stetig weiter fortführen. Sie zeigt aber auch ganz klar auf die Lösung all dieser Probleme: Wir brauchen einen OpenID Anbieter, dem wir 100% vertrauen können und der alle denkbaren Sicherheitsmechanismen nutzt um unseren Account zu schützen. Vor Hackern, vor Phishern – und vor dem Zugriff von regierungsnahen Stellen: With great Power comes great responsibility..

Natürlich könnte eine Lösung hierfür der Betrieb eines eigenen OpenID Servers für eine kleine Nutzergruppe sein. Technisch ist das nicht so schwierig, wie diese Anleitung zeigt. Mit phpMyID ist das eigentlich schnell gemacht – aber das ist natürlich nicht massenmarktkompatibel. Und genau darum geht es ja, wenn OpenID ein Erfolg, vielleicht sogar ein defakto Standard werden soll…

Derzeit gibt es in der OpenID Bewegung viele Diskussionen um dieses Thema. So wird daran gedacht, ein Gütesiegel für Provider zu vergeben oder dem Thema Phising durch einige innovative Konzepte zu begegnen.

Wie leicht Phising übrigens möglich ist, zeigt sehr schön diese detaillierte Anleitung.

Grundsätzlich – und damit möchte ich meine Einschätzung der Risiken schließen, gelten viele der hier aufgeführten Probleme natürlich auch für alle klassischen Arten der Nutzerverwaltung. Erhält jemand Zugriff auf den Google Account eines Users, kann er bereits jetzt sehr detailierte Daten über den Nutzer einsehen: E-Mails, Transaktionen, Suchhistorie, Bookmarks etc.

Hier gilt es also genau zu beobachten, welche Wege eingeschlagen werden, um OpenID wirklich sicher zu machen. Bleibt zu hoffen, das dies schnell geschieht.

Die OpenID Serie im Überblick:
1. OpenID – was muss man darüber wissen
2. OpenID – die ersten Schritte
3. OpenID – wie nutze ich mein Blog als Usernamen
4. OpenID – Gefahren und ungelöste Probleme

10 Kommentare

  • Ganz tolle Serie, Herr Agenturblog, genau zum richtigen Zeitpunkt, genau die richtigen Informationen in der genau richtigen Dosierung. Blogging at it’s best.
    Vielen Dank!

  • Hi.
    Ich muss erst mal sagen , das ich nicht viel Ahnung habe.
    Aber mir ist immer wieder geholfen , wenn ich solche Seiten finde wie diese.
    Da ist wenigstens alles erklärt und man versteht es wenigstens.
    Grüße Klaus

  • Ein funktionierender OpenID-Server ist wohl wirklich nicht so schwierig. Ein sicherer aber um so mehr. Denn gerade einfache Lösungen von der Stange bieten ja dann gerade auch Angriffe von der Stange. Gerade auch bei kleinen Servern.

    Übrigens, die „Who can you trust“-Problematik, war Motto des letzten CCC-Kongress. Sie haben da wohl den Nerv der Zeit getroffen.

  • […] OpenID – Gefahren und ungelöste Probleme […]

  • 100%iges Vertrauen? Ehrlich gesagt, das habe ich nur zu mir selbst – wenn überhaupt. Genau genommen ist das also nicht nur ein Nachteil oder Problem, sondern eher ein No-Go-Argument. …?

  • […] ist an Yahoo die ganze Diskussion rund um die Sicherheit von zentralen Identitäten nicht vorbeigegangen, deswegen nutzt man dort auch den folgenden Mechanismus: User können ein […]

  • […] einigen Jahren haben wir alle über Microsofts Passport gesprochen. Ähnliche Sicherheitsbedenken und Diskussionen wurden entfacht wie heute. Damals war ich noch selbst Mitglied der Liberty Alliance, da ich mich […]

  • Danke für diesen Blog! Gut verständlich und regt zum Nachdenken an … bitte weiter so :-)
    Gruß Elke

  • […] Gerade finde ich auf dem Agenturblog auch einen Artikel zu Gefahren von openID Lesezeichen erstellen/Beitrag suchen […]

Instagram