Sehr viele Anwendungen im WWW verlangen Passwörter, wie z. B. Netzwerke, Webportale, E-Mail-Anbieter. Es kommen mit der Zeit so viele zusammen, dass man dabei ganz schnell den Überblick verlieren kann! Google, Yahoo und Microsoft versprechen Abhilfe; nur weiß keiner, wann diese kommen wird!

Mehrere Initiativen gegen das Passwortchaos im Web blieben bislang erfolglos. Jetzt treibt Microsoft zusammen mit Google und Yahoo den Standard OpenID voran und setzt damit neue Impulse.

Einen anderen Weg als Vorgänger-Projekte für das «Single Sign-On», also das einmalige Anmelden bei unterschiedlichen Web-Portalen, beschreitet das 2005 gestartete Projekt OpenID, das von vornherein dezentral angelegt ist. Anstatt sich wie gewohnt mit Nutzername und Passwort an einem Server anzumelden erfolgt die Identifizierung hier in drei Schritten.

1) Bei dem gewünschten Webportal wird nur angegeben, über welchen OpenID-Provider die Anmeldung erfolgen soll.

2) Der Nutzer wird zu einer Seite des OpenID-Providers seines Vertrauens geleitet. Dort meldet er sich wie gewohnt an, und der Server erzeugt eine kryptische Internetadresse (URL) mit vielen unlesbaren Buchstaben und Zahlen.

3) Diese URL wird an das Webportal geleitet, womit man dort automatisch angemeldet wird. Dieser Webserver kennt somit nur die vom OpenID-Provider gelieferte URL, aber weder den zugehörigen Nutzernamen noch das Passwort.

Aufgrund des dezentralen Konzepts kann jeder Betreiber eines Web-Angebots zum OpenID-Provider werden.

Inzwischen machen fast alle mit und bereiten ihre Login-Seite für den Zugriff über das OpenID-System auf.

Umgekehrt gibt es aber bislang nur wenige Web-Anbieter, die als «Relying Party» von OpenID fungieren und beim Login eine OpenID-URL akzeptieren, also das Einloggen über eine andere Webseite.

Ursachen für die Zurückhaltung besonders auch in Europa sind Sicherheitsfragen und Fragen nach dem Schutz der Privatsphäre. So gibt es den Einwand, dass OpenID für Phishing-Attacken anfällig sei. Auch ist es möglich, dass der OpenID Provider, über dessen Seiten die Anmeldung erfolgt, ein Profil seiner Nutzer erstellen kann, welche Webseiten diese sonst regelmäßig aufsuchen.

Ist OpenID dann noch in der Lage, einmal eine Zukunft mit «Single Sign-On» zu eröffnen? Microsoft-Manager Thelin gibt darauf eine differenzierte Antwort: «Es wäre im Sinne der Verbraucher wie der Service-Anbieter, wenn es möglich wäre, sich überall im Web mit einer einzigen Identität von irgendeiner Organisation anzumelden, wie es das Versprechen von OpenID ist. Aber das hat seinen Preis. Der Preis besteht in der allgemeinen Sicherheit und der Erfahrung des Endnutzers.»

Daher trete zwar der Microsoft-Dienst HealtVault auch als Relying Party für OpenID auf, akzeptiere aber nur drei OpenID-Provider, die als zuverlässig eingestuft würden. Man kann sich zwar auch mehrere OpenID-Identitäten zulegen, wie Thelin bemerkt, und diese dann gezielt für bestimmte Web-Portale nutzen. Aber dies würde dann auch wieder das Wunschziel «Single Sign-On» relativieren.

Bis dahin werden wohl noch ein paar Jahre vergehen. In der Zwischenzeit können alle Beteiligten Erfahrungen sammeln.

Quelle: [1] netzzeitung.de