Diese Woche hat OpenID von deutscher Seite etwas Gegenwind bekommen. Ralf Bendrath, Politikwissenschaftler und Aktivist im Arbeitskreis Vorratsspeicherung, hat sich OpenID angesehen und kommt zu dem Schluss, dass es schlicht nichts taugt. Ein weiterer Blogger hat sogar eine Kampagne gegen OpenID gestartet – OpenID, Nein Danke.
Profiling
Beide sehen das größte Problem von OpenID darin, dass die Provider ohne Probleme Nutzerprofile anlegen könnten. Jede Website, die ich mit OpenID nutzen möchte, muss bei meinem OpenID Provider anklopfen, damit dieser mich authentifiziert. Somit kennt mein Provider jedes Blog und jedes Social Network, das ich mit meiner OpenID nutze. Im Zweifelsfall kennt er mein Surfverhalten besser als ich selbst.
Ich gebe zu, dass das ein Problem darstellt und mir ist nicht bekannt, dass es hier eine zufriedenstellende Lösung gäbe. Momentan kann man sich als User nur auf die Datenschutzbestimmungen des Providers und die des Landes, in dem dieser seinen Sitz hat, verlassen. In der Regel ist man bei einem europäischen Provider in dieser Beziehung besser dran als bei einem in den USA ansässigen. Halt, es gibt doch noch eine weitere Möglichkeit: Man wird selbst OpenID Provider und nutzt dazu das eigene Blog oder die eigene Website.
Wird ein OpenID Provider aber überhaupt zu solchen Mitteln greifen? OpenID Provider dürften sicherlich die längste Zeit User gehabt haben, wenn bekannt werden sollte, dass mit den persönlichen Daten der User nicht sorgfältig umgegangen wird oder diese gar weiter gegeben werden. Die Reputation eines Providers wird auch im Hinblick auf die Gefahren durch Phishing sehr davon abhängen wie er es mit Datensicherheit und Datenschutz hält. Dieser Punkt dürfte bei weiterer Verbreitung von OpenID zu einem wesentlichen Kriterium der Wahl des Providers werden. Die Provider sollten also aus gewissem Eigeninteresse heraus eben nicht fröhlich Profile anlegen. Wunschdenken? Ok, kann auch sein.
Delegation
Was soll ich als User aber unternehmen, wenn ich meinem Provider nicht mehr traue? Eventuell habe ich mich bereits bei mehreren Sites mit einer OpenID von nichtvertrauenswuerdig.com angemeldet. Zwar kann ich zu einem anderen Provider wechseln, aber ich verliere dann z.B. meine Einstellungen und Freunde bei Social Networks. Die Lösung heißt Delegation.
Delegation bedeutet, dass ich z.B. die URI meines Blogs als OpenID nutze (in meinem Fall notsorelevant.com) und mich mit dieser bei OpenID unterstützenden Sites einlogge. Dazu muss ich aber nicht selbst OpenID Provider sein. In den Kopfbereich (Head) meines Blogs füge ich lediglich zwei bzw. drei Zeilen Code ein, der der anfragenden Site mitteilt, wer mein Provider ist und sie an diesen weiter leitet. Konkret? Ok, bei myopenid.com sieht das dann z.B. wie folgt aus:
<link rel="openid.server" href="http://www.myopenid.com/server" />
<link rel="openid.delegate" href="http://username.myopenid.com/" />
<meta http-equiv="X-XRDS-Location" content="http://username.myopenid.com/xrds" />
Da ich nichtvertrauenswuerdig.com kein Vertrauen mehr entgegen bringe, ersetze ich den Code dieses Providers z.B. durch den von myopenid.com. Fertig. Für mich ändert sich dadurch gar nichts; ich kann weiterhin notsorelevant.com als OpenID nutzen. Ganz einfach.
Schlussbemerkung
Wer OpenID nutzen möchte sollte sich informieren wie das funktioniert und welche Gefahren evtl. bestehen. Das gilt aber nicht nur für OpenID, sondern grundsätzlich immer, wenn ich mich im Netz bewegen möchte. Ich vertraue dem Admin meines Mailproviders, dass er meine Mails nicht liest, meinem ISP, den Betreibern der zahlreichen Social Networks, und, und, und. Ohne ein gewisses Maß an Vertrauen kann ich mich nicht im Netz bewegen.
Man mag jetzt einwenden, dass ich mit OpenID nicht unnötig noch einem weiteren Anbieter vertrauen muss. Aber ist die Alternative wirklich besser? Soll ich mich im Zweifelsfall bei hunderten von Sites mit meiner E-Mail Adresse und Passwort anmelden? Hunderte von Möglichkeiten, dass meine E-Mail Adresse an Spammer weiter gegeben wird.
Mein OpenID Provider kennt die Social Networks und Blogs, die ich besuche und bei denen ich Kommentare hinterlasse. Aber wer Profile zu welchem Zweck auch immer anlegen will, kann das bereits ohne Probleme tun. Google kennt die Daten auch alle (und noch ein paar mehr).
Also informieren, Chancen/Risiken abwägen, entscheiden.
Risiken OpenID:
OpenID Security Considerations
OpenID Phishing Brainstorm
Sicherheitsprobleme bei OpenID
Das größte Risiko bei OpenID sehe ich eher darin, dass, ERfolg vorausgesetzt, OpenID irgendwann zum heiligen Gral der Hacker wird. Cracker, die sich Zugang zu einem OpenID-Provider verschaffen der die Onlineidentität von Millionen Usern verwaltet. Let’s talk about Supergau.
Da finde ich die Privacybedenken dagegen ziemlich nebensächlich. Man kann davon ausgehen, dass ein OpenID-Provider besonders auf Datenschutz achtet. Immerhin will so ein Unternehmen sein Geld damit verdienen, zuverlässlich seinen Usern eine Onlineidentität zu bieten. Wer das nicht tut, wer sich da ein Patzer erlaubt, der ist weg vom Fenster, so einfach ist das. Und ich denke, dass besonders OpenID-Provider zu den Unternehmen im Netz gehören werden die Geld verdienen werden. Nutzern wird ein sicherer Provider, der entsprechend Zuverlässigkeit bietet, etwas wert sein. Und mit deiner vorgestellten Lösung -Delegation- ist das Wechseln ja dann auch kein Problem. Aber: das wird bei etablierten Providern wie myopenid oder claimid nicht passieren. Wie Du schon sagst, ein solches Misstrauen ist bei Google mindestens ebenso gut aufgehoben. Wenn nicht sogar besser.
Und was Bendrath angeht: „You have a unique identifyer (your OpenID uri) for all relying parties, so you can’t choose between different cards or identites for different sites.“
Irgendwie habe ich die Regel übersehen, dass man nur eine OpenID besitzen darf..
Ich würde sowieso dazu raten, mehr als eine zu verwenden. Z.B.: Eine für professionelles bzw. arbeitstechnisches, eine für privates und eine für pron2.0-Seiten ..oder was weiß ich :D
guter Artikel! (hmm, ich muss aufhören meinen Gastautor zu loben..)
Danke für die Blumen. Thomas Huhn has sich mit dem Thema heute auch sehr ausführlich auseinandergesetzt; ist sehr lesenswert:
http://openidgermany.de/2007/04/09/openid-nein-danke/
Natürlich kann man auch mehrere Provider nutzen (Bendrath erwähnt das übrigens auch), aber vielleicht hilft es am Anfang z.B. Sxipper oder Xlogon als Provider zu nehmen. Beide erlauben es mehrere Personas zu haben, bei denen dann unterschiedliche Daten hinterlegt sind. Xlogon ist übrigens ein deutscher Provider.
Freut mich, dass mein kleiner englischer Blog-Eintrag mittlerweile auch in Deutschland für ein wenig Diskussion sorgt. Kurze Antwort hier:
Dass man natürlich mehrere IDs anlegen kann, hat ja Carsten schon erwähnt. Wie ich aber in meinem Post schrieb, geht damit der große Vorteil solcher Systeme – die Usability – den Bach runter.
Das mit den verschiedenen Personas sehe ich nicht als Vorteil, denn sie basieren alle auf der selben URI. Tracking und Profiling ist also genauso möglich.
Und zumm Thema „Man kann davon ausgehen, dass ein OpenID-Provider besonders auf Datenschutz achtet“ – hey Leute, das ist naiv. Irgendwann steht dann mal ein Staatsanwalt auf der Matte, das Zeug wird gecrackt oder die Firma braucht frisches Geld. Wo bleiben dann alle eure Daten? Mit dem Argument hätte man auch bei Hailstorm oder Passport bleiben können. Dass solche Argumente in nach-StudiVZ-Zeiten überhaupt noch kommen können, ts ts ts.
Mehr live-Diskussion dazu (und zu anderen ID-Systemen) wird es am Mittwoch hier geben:
Ich bin gepannt.
Ralf, die Anzeige hat nicht geklappt. Aber ich nehme mal an, Du meinst Re:publica.
Dass eine Konzentration von Daten auch zu einer Vergrösserung der Datenschutzproblematik führt, ist logisch. Ich bin mir nur nicht sicher ob das wirklich so schwerwiegend ist, dass man OpenID als Ganzes ablehnen sollte. Das war vielleicht etwas ungünstig ausgedrückt von mir.
Fakt ist, dass das Onlineleben mit Accounts auf dutzenden von Seiten verbunden ist und verbunden sein wird. Dazu wird sich irgendwann eine Lösung entwickeln. Was ich gut finde, den ich habe Accounts auf über 100 Seiten, gut das ist extrem und ich nutze nur einen Bruchteil, aber das Problem besteht und es wird eine Lösung dafür geben weil es ein wichtiges Problem im heutigen Netz ist. Den Usern muss mit den Vorteilen nur auch die Nachteile klar sein.
Mit den verschiedenen Personas meinte ich eher Accounts bei verschiedenen Providern. Der große Vorteil von OpenID ist imo auch noch gegeben wenn man 3 oder 4 verschiedene Accounts hat. Das ist immernoch besser als das Zehn- oder 25fache. Ich könnte zB meinen Aktivitäten als Blogger für neunetz.com, als Hobbymusiker und als Privatmensch auf verschiedene Accounts bei verschiedenen Providern legen.
Der Unterschied zu Passport ist ganz klar die Offenheit des Systems. Es gibt jetzt bereits etliche OpenID-Provider. Konkurrenz belebt das Geschäft und ist positiv für den User. Am leichtesten können sich Provider von ihren Konkurrenten abheben indem sie in Richtung Datenschutz Leistung anbieten.
Du hast allerdings recht die Problematik bleibt bestehen. Und für jeden, der Daten will, ist OPenID ein gefundenes Fressen. Cracker sprach ich ja auch schon an.
Hmm, gibt es denn einen besseren Ansatz für das Problem?
Ich glaube schon, dass das Thema Datenschutz und Datensicherheit zu einem Wettbewerb unter OpenID Providern führen wird. Die Geschichte mit dem Staatsanwalt wir man nicht umgehen können; das stimmt wohl.
Es sollte auch klar sein, dass OpenID nicht für jeden Nutzer die ienzig wahre Lösung darstellt und es sollte auch weiterhin Alternativen der Registrierung geben, egal ob beim gleichen Dienst oder ob halt ein Dienst ohne OpenID das gleiche bietet wie einer mit.
Der Besuch der re:publica hat uns gezeigt, dass es hier noch einiges zu tun gibt. Für uns ist das vertraglich gegebene Versprechen natürlich bindend. Allerdings könnte man das Ganze auch technisch untermauern. Wir sind auf der re:publica in einem Brainstorming auf einige, denke ich, witzige Ideen gekommen, wie man die Ablage der Datenbank-Inhalte so gestalten kann, dass der Identity Provider die Bezüge nicht mehr kennt. Wenn es so läuft, wie wir uns das vorstellen, sollte hinterher niemand mehr nicht mal mit einem Datenbank-Abzug etwas anfangen können.
Personas: Das mit den Personas ist ja gerade dann witzig, wenn man diese über verschiedene OpenIDs (bei uns z.Zt. auf Anfrage) in einem Account verteilen kann. Sonst hampelt man ja wieder mit n über k Passwörtern rum. Und genau hier entsteht natürlich das Aggregations-Potenzial. Aber dazu siehe oben.
„Wir sind auf der re:publica in einem Brainstorming auf einige, denke ich, witzige Ideen gekommen, wie man die Ablage der Datenbank-Inhalte so gestalten kann, dass der Identity Provider die Bezüge nicht mehr kennt. Wenn es so läuft, wie wir uns das vorstellen, sollte hinterher niemand mehr nicht mal mit einem Datenbank-Abzug etwas anfangen können.“
Das klingt interessant. Bin gespannt auf die weitere Entwicklung diesbezüglich. Denn hier -Datenschutz- liegt in der Tat ein, wenn nicht der Knackpunkt von OpenID. Wenn das relativ zufriedenstellend gelöst wird, könnte OpenID das Internet sehr viel nutzbarer machen.
Hat jemand ne Ahnung was mit dem Trackback da oben passiert ist? Meine Güte hat’s den vielleicht zerschossen.