OpenID: Lösung der Identitätsmisere?

Februar 20, 2007

Was meine ich mit “Identitätsmisere”? Darüber könne ich jetzt eine Weile referieren. Um es kurz zu machen: In diesem Zusammenhang meine ich mein Zweifel an der Richtigkeit, jedem dahergelaufenen Internet-Dienst eine Handvoll persönlicher Daten in die Hand zu drücken. Und sei es nur die E-Mail-Adresse, auf dass er mich mit “qualifiziertem” Spam bombardiert.

Wie wäre es mit internetweitem “Single Sign On”? Alten Onlinern läuft es dabei kalt den Rücken runter, und sie beginnnen von unkontrolliert auf “Passport” zu schimpfen. Mit Recht: Irgendwann, vor 6-8 Jahren hat MS versucht, unter diesem Namen ein solches Single-Sign-On (SSO) mit Bezahldiensten zu verbinden. Keine schlechte Idee, aber schlecht gemacht und ein schlechter “Partner”. Wenn ich irgendwem meine Daten damals nicht geben wollte, war das eigentlich Microsoft…

openidUnd da sind wir am Kern des Problems: SSO ist cool – aber wer darf wie die Spinne im Netz alle Daten verwalten? Viele sind der Meinung das ist OpenID. Das ist eine Initiative, hinter der unter anderem Domain-Registry-Betreiber und Herausgeber von SSL-Zertifikaten Verisign steht. Das geht schon in die richtige Richtung, finde ich. Und der Vorteil: Die Daten liegen dann nicht bei Verisign (was auch keiner witzig fände) – sondern bei dem Anbieter, dem man die Daten geben will. (Siehe Kommentar von “leckse” unten.)

Auch sonst ist der Ansatz gut: Die ID kann von verschiedenen Diensten vergeben werden und ist im Grunde eine URL (z.B. “getopenid/eric” oder “kubitz.myopenid.com” – beeilt euch, noch gibt es vernünftige Namen) und man muss dafür nur sehr wenige Daten überhaupt angeben. Das schafft Vertrauen. Und schon gibt es einige Dienste und Anbieter, die mit OpenID arbeiten Z.B. beim Bloganbieter “LiveJournal” kommt man mit der OpenID sofort auf ein neues Konto. AOL hat damit auch schon experimentiert, Microsoft will OpenID auch unterstützen und bei Videntiy.org kann man ein ganzes Profil eingeben und bekommt versprochen “Das letzte Registierungsformular das Sie je ausfüllen werden!”. Die Idee da hinter: Über offene Formate können Kontaktdaten auch zwischen Xing, StudiVZ, MySpace und Facebook ausgetauscht werden. Mmmmh, o.k., das könnte noch ein wenig dauern.

Auch schön: Um die Softwaregemeinde zu aktivieren, haben die Betreiber einen Geldpreis für die besten OpenID-Implementierungen ausgelobt und wünschen sich ausdrücklich, dass WordPress, Joomla & Co integriert werden. Für WordPress habe ich schon ein Plugin gefunden, aber noch nicht ausprobiert…

Sieht doch alles ganz gut aus – oder? Ob OpenID nun mein digitales Identitätsproblem löst, weiß ich auch nicht. Und ich bin mir auch sicher, dass der eine oder andere Kunde von mir gar nicht so davon begeistert ist, KEINE Daten mehr von den Usern zu bekommen. Aber ich denke, das ist definitiv der richtige Weg – und werde das weiter beobachten.

...

Eric Kubitz ist auch auf Google+ und Twitter Twitter.

  • http://blog.doubleslash.de Oliver

    Hallo,

    schöner Beitrag. Aus USA kommt in den nächsten Wochen und Monaten eine “OpenID-Welle” auf uns zu. z.B. hat DIGG und AOL hat angekündigt OpenID zu unterstützen. Es gibt auch schon eine Schnittstelle zu Yahoo.
    Das OpenID-Plugin von Verselogic (http://blog.verselogic.net/projects/wordpress/wordpress-openid-plugin/) spielt auf unserem Blog im Gegensatz zum Joomla-Plugin bestens.

  • http://blog.doubleslash.de Oliver

    Hallo,

    schöner Beitrag. Aus USA kommt in den nächsten Wochen und Monaten eine “OpenID-Welle” auf uns zu. z.B. hat DIGG und AOL hat angekündigt OpenID zu unterstützen. Es gibt auch schon eine Schnittstelle zu Yahoo.
    Das OpenID-Plugin von Verselogic (http://blog.verselogic.net/projects/wordpress/wordpress-openid-plugin/) spielt auf unserem Blog im Gegensatz zum Joomla-Plugin bestens.

  • na dann

    Verisign? Ich soll Verisign meine Daten anvertrauen? Das kann ich nicht als “Schritt in die richtige Richtung” sehen.

    Schon auch die FAQ auf der Homepage: (Hervorhebungen durch mich)

    Q:Who owns this?
    A:Nobody *should* own this.

    Das beantwortete leider meine Frage nicht :) Fügt sich aber gut in die folgenden Aussagen ein:

    Nobody’s *planning* on making any money from this.

    The *goal* is to release every part of this under the most liberal licenses possible

  • na dann

    Verisign? Ich soll Verisign meine Daten anvertrauen? Das kann ich nicht als “Schritt in die richtige Richtung” sehen.

    Schon auch die FAQ auf der Homepage: (Hervorhebungen durch mich)

    Q:Who owns this?
    A:Nobody *should* own this.

    Das beantwortete leider meine Frage nicht :) Fügt sich aber gut in die folgenden Aussagen ein:

    Nobody’s *planning* on making any money from this.

    The *goal* is to release every part of this under the most liberal licenses possible

  • http://www.leckse.net/artikel/ leckse

    Das scheint wohl mißverständlich formuliert zu sein. Da ich Verisign für ein noch größeres Übel als Microsoft halte, würde ich meine Daten dort sicher auch nicht deponieren. Muß ich aber auch nicht. Man muß nur dem Server vertrauen, mit dem man sich authentifiziert (und vor allem DNS).

    Wenn man sich zB auf foobar.com einloggen will, gibt man die persönliche URL ein (zB leckse.net), woraufhin man foobar.com dann leckse.net kontaktiert. leckse.net fragt dann den Benutzer nach Paßwort oder SSL-Zertifikat und ob er diesen Loginversuch initiiert hat. Wenn alles geklappt hat, bekommt foobar.com dann von leckse.net grünes Licht.

    Wenn man keinem der öffentlich zugänglichen Dienste vertraut, kann man auch seinen eigenen Open-ID-Server betreiben. Die Implementierungen sind AFAIK unter LGPL freigegeben.

  • http://www.leckse.net/artikel/ leckse

    Das scheint wohl mißverständlich formuliert zu sein. Da ich Verisign für ein noch größeres Übel als Microsoft halte, würde ich meine Daten dort sicher auch nicht deponieren. Muß ich aber auch nicht. Man muß nur dem Server vertrauen, mit dem man sich authentifiziert (und vor allem DNS).

    Wenn man sich zB auf foobar.com einloggen will, gibt man die persönliche URL ein (zB leckse.net), woraufhin man foobar.com dann leckse.net kontaktiert. leckse.net fragt dann den Benutzer nach Paßwort oder SSL-Zertifikat und ob er diesen Loginversuch initiiert hat. Wenn alles geklappt hat, bekommt foobar.com dann von leckse.net grünes Licht.

    Wenn man keinem der öffentlich zugänglichen Dienste vertraut, kann man auch seinen eigenen Open-ID-Server betreiben. Die Implementierungen sind AFAIK unter LGPL freigegeben.

  • http://www.kubitz.net eric108

    Habe das oben klar gestellt. Danke für die Kommentare!

  • http://www.kubitz.net eric kubitz

    Habe das oben klar gestellt. Danke für die Kommentare!

  • Pingback: WebNews.de

  • Pingback: Internet: PHP, Podcast, Blog, Webanalyse: Gesammelte Dinge… auf kubitz.net | webcoach | social media | sinnvolles handeln

  • http://www.ldpro.de Thomas

    Jeder, der bei OpenID als User registriert ist, kann auch in meinem Blog Artikel schreiben, ohne sich zu registrieren?
    Ist das richtig?
    Vorausgesetzt natürlich, ich habe das OpenID Plugin installiert.

  • http://www.ldpro.de Thomas

    Jeder, der bei OpenID als User registriert ist, kann auch in meinem Blog Artikel schreiben, ohne sich zu registrieren?
    Ist das richtig?
    Vorausgesetzt natürlich, ich habe das OpenID Plugin installiert.

  • Pingback: Soziale Netzwerke verbinden? auf kubitz.net - webcoach | social media | seminare | content

Previous post:

Next post: