Sicherheit mit OpenID
Sicherheit ist ein zentrales Thema, wenn es um die Anmeldung im Internet geht. Unsichere Verbindungen im Café über das WLAN und Phishing sind mittlerweile bekannte Muster, um Accountinformationen abzugreifen. Wenn es um die Sicherheit geht, wird aber eine Betrachtungsweise oft außen vor gelassen: wer sitzt vor dem Rechner? War das Online-Shopping vor wenigen Jahren noch ein Platz für experimentierfreudige und meist erfahrene Internetbenutzer, so hat sich dies doch drastisch geändert. Mittlerweile finden sich fast alle Altersgruppen, um bei Amazon den Fernseher zu bestellen, auf eBay eine Reise zu ersteigern, diese dann per Paypal zu bezahlen und bei Media Markt online die Fotos entwickeln zu lassen. Allerdings ist gerade bei älteren Nutzern das Online-Banking unbeliebt, weil es als Sicherheitsrisiko gilt. Es gibt ein Sicherheitsempfinden, allerdings ist dieses je nach Service sehr breit variierend.
Zurück zu OpenId. Überlegt man, dass plötzlich mit einer Identität sehr viele Accounts verknüpft sind, ergibt sich natürlich ein besonderer Reiz für Angriffe. Ein großes Argument gegen OpenId. Aber betrachten wir, wie der sich der normale Nutzer im Internet bewegt. Er verwendet zu 40-75% (je nach herangezogener Studie) das selbe Passwort auf verschiedenen Seiten. Somit hat er sich fast schon seine eigene dezentrale Identität geschaffen. Diese existiert aber nicht nur in hoch geschützten Bereichen, sondern in Foren, Gästebüchern und anderen oft anfälligen Datenbanken. Wie praktisch, dass man sich somit für Paypal keine Gedanken um Sicherheit machen muss, da es im Gegensatz zur Bank… …eben doch ein sehr hohes Sicherheitsrisiko darstellt. OpenId ist hier nicht unbedingt viel besser, kann aber mit den richtigen Ideen verbreitet, zu einer Erziehung der Nutzer dienen. SSL Zertifikate haben eine Berechtigung und sollten nicht für die Seriosität eines Shops stehen, sondern vom Benutzer im Browser als sichere Verbindung zu einer Seite erkannt werden. Der Benutzer muss lernen, dass seine OpenID genauso wichtig ist, wie sein Bankaccount. Er muss auf der Login-Seite erklärt bekommen, worauf er im Browser zu achten hat. Leider gehen die Browser hier nicht überall den gleichen Weg, zeigen aber zumindest immer besser an, ob die Seite auch wirklich über https abgesichert ist und auch auf die aufgerufene Webseite registriert ist. Administratoren müssen lernen, dass Self-Signed-Zertifikate nett sind, um sich selber einen gewissen Schutz zu bieten, aber dass sie Nutzer dazu erziehen, sämtliche Sicherheitswarnungen in den Wind zu schlagen. Zertifikate sind nicht teuer und auch nicht kompliziert zu installieren (z.B. Heise zum Thema StartSSL).
Kurz: OpenID schützt die Identität, indem die Daten sicher gehalten werden, erfordert aber einen Erziehungseffekt um die notwendige Sicherheit zu bieten. Es ist aber leichter sich einen grünen Adressbalken mit einer Adresse und Passwort zu merken, als 50 variierende Passwörter, die sich aus Zahlen, Buchstaben und Sonderzeichen zu einer Zeichenkette mit einer Länge von 8 Zeichen ergeben. Diese 50 Passwörter müssen natürlich auch unterwegs überall zugreifbar sein, da in der Mittagspause auf eBay geboten wird, die E-Mails auf dem Handy abgerufen werden und im Internet-Café über Facebook gechattet wird. Hier kann nur dafür plädiert werden, dass immer mehr Dienste OpenID unterstützen, damit das Internet auf lange Sicht an Sicherheit für alle Nutzer gewinnt und keine unbedarften Nutzer einem großen Gefahrenpotential aussetzt.
