Mit der Ankündigung von Yahoo, OpenID für alle Benutzer zu unterstützen, könnte dieser Standard für eine offene, bei vielen Websites verwendbare ID im Internet die kritische Masse erreicht haben – umso mehr, als Google zumindest für seine Blogs gleich nachgezogen hat.
Damit stellt sich die Frage, was OpenID eigentlich ist, was man damit machen kann und für welche Aufgabenstellungen man vielleicht doch noch andere Standards benötigt. OpenID ist ein System für die Identifizierung von Benutzern, das auf einem verteilten Ansatz basiert. Benutzer können eine ID bei einem beliebigen OpenID-Server erstellen und auf allen Websites nutzen, die OpenID akzeptieren. Es handelt sich damit um einen Single-Sign-on-Mechanismus, weil man sich nur einmal bei seinem OpenID-Provider authentifizieren muss und danach auf verschiedene Websites zugreifen kann.
OpenID arbeitet also mit einem verteilten Ansatz. Es gibt inzwischen eine Reihe von OpenID-Providern, von den genannten Yahoo und Google über Verisign bis hin zu kleineren Providern. Im Grundsatz kann jeder ein Provider für OpenID werden.
Wenn man sich auf einer Site mit OpenID-Unterstützung anmelden möchte, erfolgt tatsächlich eine Authentifizierung beim OpenID-Provider, von dem die Identität stammt. Die «Relying Party», also das System, auf das zugegriffen wird, vertraut diesem «Identity Provider» bezüglich der korrekten Authentifizierung.
Im Rahmen der Authentifizierung können Attribute zwischen dem Identity Provider und der Relying Party ausgetauscht werden. Der Benutzer behält allerdings die Kontrolle über die Informationen, die an die Relying Party weitergegeben werden.
Der erste Einsatzbereich, in dem sich OpenID verbreitet hat, waren die Blogs. Hier geht es einerseits darum, dass sich ein Blogger einfach bei verschiedenen Websites registrieren kann – meist mit minimalen Informationen wie einem Benutzernamen und einer E-Mail-Adresse. Andererseits will man auch erreichen, dass das Problem von Spam in Blogs durch automatisierte Einträge reduziert wird – und dafür ist eine Authentifizierung eben sinnvoll.
Dabei tauchen aber auch gleich offene Fragen auf. Die erste ist die nach der Vertrauenswürdigkeit der Authentifizierung. Wenn sich jemand mit einer OpenID anmeldet, hat er sich ja nicht auf der Website oder beim Blog registriert. Damit muss man dem Provider der OpenID vertrauen. Das wird vielfach als Kritikpunkt genannt. Tatsächlich ist es aber kein echtes Problem – im Gegenteil:
Wenn jemand beispielsweise eine OpenID von Yahoo verwendet, ist diese potentiell vertrauenswürdiger als das, was bei der direkten Registrierung auf einer Website eingegeben wird. Und die Alternative zu OpenID ist ja nicht eine starke Authentifizierung von Benutzern bei einem vertrauenswürdigen ID-Provider, sondern die Selbst-Registrierung auf Websites oder bei Blogs. Insofern werden die Risiken zumindest nicht grösser.
Ausserdem spricht nichts dagegen, dass ein Unternehmen selbst zum OpenID-Provider wird und beispielsweise für bestimmte Aktivitäten auf seiner Website auch nur die eigenen OpenIDs akzeptiert. Damit wäre das Konzept zwar nicht mehr sonderlich offen – denkbar ist es aber.
Zudem ist OpenID trotz der neuen Unterstützung durch Yahoo und Google – man spricht inzwischen von über 350 Millionen OpenID-Accounts weltweit – immer noch ein neues Verfahren, das ausserhalb der Blog-Dienste nur bei relativ wenigen Websites und Internet-Diensten für die Registrierung unterstützt wird. Das wird sich aber ändern.
Zum einen gibt es eben den Wettbewerbsdruck, der heute schon besteht und der bei der schnellen Reaktion von Google auf die Ankündigung von Yahoo zu erkennen war. Zudem gibt es bereits seit Anfang 2007 eine Übereinkunft zwischen mehreren der treibenden Kräfte hinter OpenID und Microsoft bezüglich der Interoperabilität zwischen OpenID und Microsofts CardSpace sowie dem dahinter stehenden Konzept der Infocards. So wird Microsoft zukünftig auch OpenID als Standardfunktionalität in Windows unterstützen. Ausserdem wird Microsoft auch bei der Adressierung von Sicherheitsrisiken in OpenID helfen.
Im Gegenzug sollen die Infocards bei dem Austausch von erweiterten Attributen, mit denen Informationen zu Benutzern zwischen den Identity-Providern und den Relying Parties unterstützt werden, ebenfalls genutzt werden können. Diese Zusammenarbeit ist, neben der breiten Akzeptanz sowohl von OpenID sowie der Infocards auch im Open-Source-Lager, der Grund dafür, dass sehr viel dafür spricht, dass sich diese beiden Ansätze durchsetzen – auch in kombinierter Form.
OpenID adressiert ein Problem, mit dem jeder Benutzer im Internet praktisch täglich konfrontiert ist. Und es ist die Lösung mit der grössten Akzeptanz und der breitesten Unterstützung, so dass der Erfolg doch sehr wahrscheinlich ist.
Eine interessante Frage im Zusammenhang mit OpenID ist die nach den Geschäftsmodellen. OpenID-Provider können natürlich potentiell die Informationen über besuchte Websites für gezieltere Werbung oder andere Formen der Informationsbereitstellung nutzen. Allerdings könnte ein solches Modell auch genau zum Akzeptanzproblem werden.
Auf der anderen Seite gibt es auch Herausforderungen durch OpenID und andere Ansätze wie eben CardSpace.
Denn wenn beispielsweise ein Internet-Provider bisher das Geschäftsmodell verfolgte, durch das Authentifizieren von Benutzern Geld zu verdienen, so dass andere Anbieter der Authentifizierung vertrauen können, kann er das mit OpenID in dieser Form nicht mehr machen. Denn jeder kann der OpenID vertrauen, auch ohne Geschäftsbeziehung mit dem Internet-Provider. Solche geschlossenen Plattform- und Identity-Provider-Modelle dürften auf Dauer daher an Bedeutung verlieren. Man darf gespannt darauf sein, durch welche anderen Ansätze sie abgelöst werden.
Heute geht es aber noch nicht um eigentliches Business auf Basis von OpenID, sondern vor allem um die einfachere Registrierung für Blogs und Websites. Hier macht OpenID Sinn. Bis es auch in sensibleren Einsatzbereichen mit höheren Privacy-Anforderungen oder kommerziellen Transaktionen genutzt wird, wird sicher noch etwas Zeit ins Land gehen, in der sich die Standards weiter entwickeln und auch unterschiedliche Gruppen von Providern mit unterschiedlichem Vertrauensgrad sich herauskristallisieren werden. Eines erscheint aber sicher: OpenID wird sich durchsetzen – auch wenn es in zwei oder drei Jahren vielleicht ein gutes Stück gereift und verändert sein wird.
