OpenID? Schon mal gehört, oder? Irgendwie antwortet fast jeder auf diese Frage mit ja und dennoch wissen die wenigsten worum es eigentlich geht. Daher wissen leider auch die wenigsten, dass OpenID eine ganze Hand voll Probleme lösen könnte mit denen wir uns als Blogger immer wieder rumschlagen müssen und die uns zum teil auch ängstigen. Die zwei gravierendsten sind wohl Spam und Abmahnungen.Aber lasst uns von vorne beginnen. Was ist OpenID nun eigentlich? Bei OpenID handelt es sich um einen offenen Standard zu zentralen Authentifizierung von Benutzern. Zu Deutsch: Du registrierst Dich einmal auf einer Website und verwendest diese Registrierung dafür dich gegenüber anderen Websites auszuweisen. Dafür ist es nicht nögtig an jede Website deine Logindaten weiterzugeben. Beim Login über OpenID wird lediglich die URL des Dienstes angegeben über den Du dich registriert hast. Du wirst dann dort hin weitergeleitet und musst i.d.R. mit nur einem Klick bestätigen, dass die Authorisierung so in Ordnung geht. Je nach Cookie-Timeouts etc. musst Du dich evtl. beim OpenID-Provider (also der bei dem Du Dich registriert hast) einloggen.
Ein sehr großer Vorteil dabei ist, dass OpenID nicht nur ein offener sondern auch ein bereits jetzt von vielen großen Unternehmen akzeptierter Dienst ist. Das führt dazu, dass viele bereits eine OpenID besitzen ohne es zu wissen. Bist Du beispielsweise bei Yahoo registriert? Oder bei AOL (AIM), Google oder Technorati? Bei WordPress, Blogger.com oder VOX.com? All diese Anbieter betreiben bereits einen OpenID-Provider. Du kannst dich also bei OpenID-Logins bereits mit den schon vorhandenen Daten einloggen. Das einzige was Du wissen musst ist Deine OpenID-URL.
Mit dem IDSelector ist jetzt sogar ein Dienst auf dem Markt der diese kleine Hürde der URL noch nehmen will, indem er für die gängisten Provider bereits vorgefertigt die URLs bereithält. Nur der Username muss teilweise noch eingegeben werden. Der IDSelector kann von Websitebetreibern, die den Login per OpenID erlauben, ganz einfach eingesetzt werden.
Halten wir mal fest: Ich registriere mich auf einer Seite (oder bin es evtl. schon). Danach bekomme ich eine URL wie z.B. http://openid.aol.com/Benutzername bei AOL. Bei manchen Diensten ist dies gar nicht nötig. Yahoo z.B. – in diesem Fall sehr um die Sicherheit seiner Benutzer bemüht – generiert eine zufällige URL, ich muss im Loginformular nur http://yahoo.com angeben. Diese meine OpenID-URL kann ich nun auf jeder Seite eingeben, auf der der Login per OpenID möglich ist. Ich werde zu meinem OpenID-Provider weitergeleitet und falls der mich noch nicht kennt muss ich mich da evtl. einloggen und kann anschließend den Vorgang bestätigen.
Wieso hilft uns das nun bei Spam und Abmahnungen?
Spam – in diesem Fall spreche ich ausnahmlos von Spam in Blogkommentaren bzw. Foren und ähnlichen Plattformen – wird zu 99% von Maschinen verursacht. Sogenannte Spambots übermitteln automatisiert Daten in das Kommentarformular des Blogs. Dieses vorgehen kann zwar OpenID nicht vollständig verhindern jedoch vorerst eindämmen, in dem es die Latte der Hürde ein Stück höher legt. Zusammen mit zentralen Antispam/Reputations-Dienstleistern wir Akismet oder Mollom hingegen könnte OpenID noch effektiver werden. Auf diesem Gebiet bin ich jedoch kein Fachmann und es liegt mir fern die Vor- und Nachteile von Akismet und Mollom an dieser Stelle zu diskutieren. Drupal-Erfinder und Mollom-Betreiber Dries Buytaert hat jedoch bereits im April einiges dazu aufgeschrieben.
Und was ist mit Abmahnungen? Erinnert ihr Euch noch an die Diskussion um das Subscribe-to-Comments Plugin für WordPress? Viele Blogs stellen eine ähnliche Funktion zur Verfügung und die allermeisten haben das gleiche Problem: Jemand gibt ohne sich zu identifizieren eine Email-Adresse ein, an die anschließend Benachrichtigungsemails über neue Kommentare geschickt werden. Die nach der Abmahnungsdiskussion aufgekommenen modifizierten Versionen über das Double-Opt-In-Verfahren lösen das Problem leider auch nur teilweise. Es gibt Anwälte (sigh!) die bereits die Bestätigungs-Email des Double-Opt-In-Verfahrens als Spam bezeichnen und es besteht leider Grund zur Annahme, dass das im Zweifelsfall auch auf den Tisch kommt. Mit OpenID wäre dieses Problem ziemlich schnell vom Tisch und die Abwicklung im Tagesgeschäft wäre auch für den User deutlich einfacher. Wäre – ja genau, wäre… wenn da nicht ein Problem wäre. Soweit mir bisher bekannt ist, gibt es standardmäßig keine Lösung bei OpenID, die eine Email-Adresse verifiziert. Die zur Registrierung der OpenID evtl. verwendete Email-Adresse ist also nicht verifizierbar und damit für das Subscribe-To-Comments-Problem nicht wirklich verwendbar. Oder doch?
Zumindest aber hat unabhängig davon OpenID sehr großes Potential. Leider bekommt es noch viel zu wenig Aufmerksamkeit. Möglichkeiten OpenID-Unterstützung in Blogs und andere Systeme zu integrieren sind oftmals vorhanden oder können nachgerüstet werden. Vielleicht kann ich den ein oder anderen ja mit diesem Beitrag etwas für das Thema sensibilisieren und die Vorteile von OpenID werden ein Stück weit klar. Ich für meinen Teil habe mich vorgenommen bei meinen schon bestehenden und künftigen Projekten OpenID stärker zu berücksichtigen.
Wer gerne über den Artikel hinaus weiterlesen möchte zum Thema OpenID, dem empfehle ich einen Blick in den Agenturblog von Oliver Wagner. Er hat bereits vor über einem Jahr ausführlich über OpenID geschrieben und beantwortet mit seinen Beiträgen sicher eine Menge weiterer Fragen und beleuchtet auch einige Probleme und Gefahren von OpenID. Außerdem lohnt sich ein Blick in die Wikipedia, die alles etwas genauer beleuchtet. Unter SpreadOpenID.org gibts in englischer Sprache noch einiges mehr an Futter. Wer dann immer noch nicht genug hat, sollte sich auf soziale Pfade begeben und in den Bookmarks von Delicious zum Thema OpenID stöbern. Die offizielle Website von OpenID findet sich unter http://openid.net.
Update: Aus aktuellem Anlass „Windows LiveID wird zum OpenID-Provider„. Hab ich gar nicht mitbekommen, danke an Joachim (siehe Kommentare).
… und da Microsoft gestern OpenID als „De facto Login Standard“ bezeichnet hat und das Thema nun auch unterstützt (auch aber nicht nur als Provider), wird das sicherlich noch spannend.
Blog + Blick = „Block? ;-)
(Unwichtiger Hinweis auf einen irgendwie witzigen Tippfehler beim Link zum Agenturblog)
Was? Wo? Seh ich nicht. :-)
(danke für den Hinweis… ist korrigiert)
immerhin arbeitet http://liquidid.net schon mit EMail-Adressen und es gibt die „OpenID Email Address Transform Extension“.
Gut geschriebener Artikel. Vielen Dank dafür. Kennt der Autor, oder einer der hier Lesenden evtl. eine Software mit der man selbst Openid Provider werden kann? Alle Programme, die ich bis jetzt gefunden habe, können nur die eigene Openid erstellen, aber nicht Openid’s für „dritte“. Verständlich, was ich meine?
@jc es gibt schon diverse Software, mit der man einen eigenen OpenID-Server betreiben kann. Eine Liste gibts hier. Ich hab bei mir z.B. phpMyID laufen (nur eine Identität), mit anderen kann man aber mehrere OpenIDs gleichzeitig versorgen.
zusätzlich bietet z.B. Drupal auch einige OpenID-Module, darunter auch einen OpenID-Provider. Die Übersicht über alle Drupal-Module ist hier zu finden: http://drupal.org/project/modules/name
Ich versteh das jetzt nicht so ganz… ich bekomme also von der zentralen Stelle bei der ich mich registriere eine URL, die mich identifiziert.
Und diese URL gebe ich bei entsprechenden OpenID-Seiten statt des Logins ein ?
Wenn nun jemand kenntnis über die URL bekäme, könnte dieser aber doch mehr „Unsinn“ anstellen als das zuvor möglich war (da man dann idealerweise bei jedem Dienst ein eigenes Passwort nutze.
SingleSignOn ist nicht immer ein Segen…
Das mit der offenheit und „jeder kann sein eigener OpenID-Provider sein“ ist dann aber auch schon wieder die Stelle, an der das mit dem SPAM-Schutz schon wieder den Bach runter geht… Wenn sich jeder einfach selbst autentifizieren kann – wem soll man dann vertrauen?
@Dürrbi: Du brauchst nicht nur die URL zum Einloggen. Nachdem man die URL als Userkennung eingegeben hat wird man zu seinem „OpenID Provider“ weitergeleitet und muss sich dort mit einem Passwort einloggen.
@BlaM
Danke für die Antwort. Egal welcher Dienst OpenID nutzt, authentifizieren tut man sich immer gegen den zentralen Provider, OK das habe ich verstanden.
Sollte aber trotzdem das Kennwort „bekannt“ werden, wären hierdurch weitaus mehr Dienste betroffen, als wenn ich bei jedem Anbieter mein „eigenes“ habe.
Gut es gibt auch Leute, die der Bequemlichkeit halber immer und überall das gleiche nutzen. Ich finde es in manchen Fällen schon doof, dass man für alle Google-Dienste ein- und dasselbe Kennwort – weil SingleSignOn – verwende bzw. verwenden muss.
@Dürrbi: Ich sehe das eher als Vorteil: *sollte* mein Passwort irgendwie bekanntgeworden sein (Natriumpentothal oder so), dann brauche ich es nur an einer zentralen Stelle zu ändern.
Für die ganz paranoiden: man könnte sich ja einen OpenID-Provider suchen (oder selber basteln), dessen Authentifizierung nicht auf einem Passwort sondern auf z.B. einem SSL-Clientzertifikat basiert. Wenn man das unterwegs nutzen wollte, dann bräuchte man allerdings einen Mobilbrowser auf USB-Stick oder ähnliches.
Eine Frage: wie behandelt OpenID mehrere Accounts auf einem der Dienste, die hier so genannt werden? Ich bin grundsätzlich mit 2 Identitäten unterwegs – privat und geschäftlich. Heisst zwar alles doppelt merken, ist es mir aber wert. Müsste ich da auch 2 OpenID-Accounts betreiben – oder kann OpenID mehrere Accounts pro URL managen?
Ich bin mir jetzt nicht ganz sicher, was Du genau meinst. Wenn Du bei einer Relying Party – die Seiten, die ein Login mit OpenID akzeptieren – zwei Accounts hast, kannst Du die nicht mit einer einzigen OpenID verwalten.
Anders herum funktioniert es aber mit einigen Providern wie MyOpenID.com, VeriSign PIP, XLogon,… Bei diesen kannst Du mehrere Identitäten, sogenannte Personas, verwalten. Du könntest also eine Identität für eher private Relying Parties anlegen, die einen bestimmten Nickname und/oder zugeordnete E-Mail Adresse enthält, und gleichzeitig eine Identität für geschäftliche Seiten, die eben einen anderen Nickname und E-Mail Adresse enthält. Dahinter steht aber immer die gleiche OpenID, also z.B. username.openidprovider.com.
Manche Relying Parties erlauben es, einem Account mehrere OpenIDs zuzuordnen. Man kann sich also z.B. mit einer OpenID von VeriSign PIP einloggen oder mit einer von Yahoo!. Grundsätzlich sollten das alle Relying Parties machen, weil man so einen Fallback hat, falls ein Provider mal nicht zu erreichen ist.