Freitag, 8. Februar 2008

OpenID - eine nette Alternative?

Klingt das nicht verführerisch? Ein Nutzername und ein Passwort für diverse Anwendungen im Internet?

Nie mehr das Passwort für irgendeine Website vergessen, man hat für alle Seiten immer die gleichen Login-Daten. Man kann sich überall ohne Probleme anmelden, kann für seinen Blog Bilder aus Flickr holen oder online die eigenen Emails mit Dokumenten aus Google ergänzen. Schöne, neue Welt ...

Wirklich???

"OpenID" heißt das Zauberwort und funktioniert so, dass man sich bei einem Anbieter ein persönliches Login holt, so eine Art Personalausweis für das Internet. Dieses Login ist fest mit meiner Person verbunden.
Wenn ich dann auf eine Seite komme, auf der ich meine Login-Daten eingeben soll, gebe ich die Open-ID-Daten ein. Dort wird dann aber nicht mehr in eigenen Datenbanken nachgeschaut, ob die Daten stimmen, sondern die Login-Daten werden an einen Open-ID-Anbieter (davon gibt es mehrere mit unterschiedlichen Interessen) weitergeleitet, der dann sagt: "Daumen hoch" oder "Daumen runter".
Was auf den ersten Blick wie eine riesige Erleichterung für den User aussieht, hat durchaus seine Tücken und auch schwerwiegende Probleme.

Im Spiegel wird beschrieben, dass sich jetzt auch die 3 großen Global Player Microsoft, Google und Yahoo sehr für OpenID interessieren.

Und spätestens da sollte man anfangen, nachzudenken.
Alle, die mit dem Begriff "OpenSource" (Firefox, Thunderbird, etc.) etwas anfangen können, werden bei der Vorsilbe "Open" grundsätzlich positive Gefühle entwickeln. Aber hier ist
das der "Wolf im Schafspelz".

Denn - wie schon oben beschrieben - es gibt verschiedene OpenID-Anbieter mit unterschiedlichen Interessen. Z.B. ist Yahoo ein OpenID-Anbieter.
Wenn ich also meine OpenID über Yahoo beziehe, kann Yahoo eine wunderbare Datenbank mit meinem Bewegungsprofil erstellen, denn jedesmal wenn ich mit meiner OpenID irgendwo anmelde, landet diese Information bei Yahoo. Was wird die Folge aus diesem Wissen sein? Werbung, Spam, etc.

Aber auch Pishing (=Password fishing) ist ein Problem. Denn habe ich erst einmal eine OpenID eines Nutzers, kann ich mich mit dieser z.B. bei ebay anmelden und dort fröhlich Dinge ersteigern. Großer Schaden kann dadurch entstehen.

Also: Besser Finger weg von OpenID.

Keine Kommentare: