Es gibt einen Aspekt, den ich in meinen bisherigen Berichten rund um OpenID leider sträflich vernächlässigt habe. Fairerweise muss ich zur Ehrenrettung sagen, dass ich allerdings wannimmer ich kurze Vorträge oder Einführungen zu dem Thema gehalten haben deutlich darauf eingegangen bin – hier im Blog kam es bislang allerdings zu kurz: Das Risiko der Bindung an einen Anbieter.
Markus hat dazu einen sehr guten und anschaulichen Artikel verfasst und zeigt auf, wo die Risiken genau zu verorten sind:
Das Problem mit openID ist nicht, dass es zu Problemen kommen kann, sondern dass die Konsequenzen der Probleme unangenehmer sind als man sie sonst so antrifft.
Zur besseren Verdeutlichung der Problematik vergleicht Markus dabei die OpenID Provider mit Kreditkartenunternehmen, beide stellen Ihren Kunden eine Art Schlüssel zur Verfügung, mit der man Aktionen ausführen kann:
Kreditkartenbetreiber könnten (und werden) verschwinden. Die Kreditkarte ist dann natürlich wertlos – aber noch blöder: alles was man zuvor mit der Kreditkarte gekauft hat verschwindet gleich mit (bzw. ist zwar noch da, aber man kommt nicht mehr ran, bzw. man kommt zwar noch ran, aber nur wenn das Geschäft in dem man das jeweilige Ding gekauft hat zulässt, dass man es aufbricht.) Oder man verliert das Vertrauen in den Kreditkartenbetreiber oder will ihn aus sonstigen Gründen wechseln. Pech gehabt.
Soll also heißen, dass die Bindung an einen OpenID Service Provider extrem groß ist, stellt dieser doch den einzigen Schlüssel bereit, mit dem sich alle darüber registrierten Produkte, Daten und Inhalte öffnen lassen. Noch sind die Geschäftsmodelle dieser Anbieter nicht ausgereift, das Interesse daran diese Dienstleistung anzubieten aber ungebrochen. Stellt der eigene Provider den Dienst ein – und das Risiko ist aus den vorgenannten Gründen immanent – hat man ein Problem, denn von diesem Moment an ist dieser Schlüssel unwiederbringlich weg. Ändert der Anbieter sein Businessmodell in einen Premium Service, kann es sein, dass man dies nicht umgehen kann und wohl oder übel zahlen muss.
Es gibt aber einen guten Weg dies zu umgehen: Delegation.
Hierbei nutzt man eine beliebige eigene URL über die man selbst und unbefristet volle Kontrolle hat und leitet diese um auf den jeweils aktuellen Anbieter. Diesen kann man jederzeit wechseln und behält stets die Autonomie über seine eigene OpenID URL. Wie man das Beispielsweis emit WordPress mach habe ich hier beschrieben.
Hier also nochmal in aller Deutlichkeit der Rat: Vor dem ersten Einsatz seiner neu erworbene OpenID sollte man sich Gedanken machen, wo man am besten seine virtuelle Identität am sichersten verwalten kann. Normalerweise stellt das eigene, selbstgehostete Blog (bzw. jeder eigene, selbst editierbare eigene Inhalt) die erste und beste Idee da. Prinzipiell könnte sogar ein OpenID Delegationsservice eine interessante Idee für ein neues Projekt sein – würde aber für den Nutzer wiederum die gleichen Risken bieten, wie ein OpenID Provider….