OpenSource-Identifikations-Systeme sind noch nicht ausgereift
OpenID noch immer offen für Missbrauch

AuthentifizierungIT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeOpen SourceSicherheitSicherheitsmanagementSoftware

Die Begeisterung über ein offenes Single-Sign-on Verfahren darf Sicherheitsbedenken nicht über den Haufen werfen. Gefahren von OpenID erstaunen IT-Week-Autor Tim Anderson.

OpenSource Authentifizierung im Aufwind

OpenSource-Identifikations-Systeme sind noch nicht ausgereift

Die große Neuigkeit der Veranstaltung “Future of Web Applications” in London, veranstaltet von Ryan Carson, dem Entwickler von DropSend, war der Aufwind für OpenID, einem URL-basierten und dezentralisiertem Identifikationssystem für Single Sign-On. Ein europäisches Projekt noch dazu.

Kevin Rose, Gründer der beliebten Nachrichtenseite Digg, hat angekündigt, dass seine Webseite die OpenID-Authentifizierung unterstützen wird. Damit folgt er der Ankündigung von AOL, dass ein AOL-Benutzername als eine “OpenID” verwendet werden kann und Microsofts erklärter Absicht, OpenID mit Windows CardSpace zu integrieren.


Auf der Konferenz hat Simon Willison, früher bei Yahoo, die Vorteile des Single Sign-on sowie des Potentials von OpenID bei der Bekämpfung von Kommentar-Spam und anderen Übeln präsentiert.


Sicherheitslecks im Single-Sign-On-Verfahren

OpenSource-Identifikations-Systeme sind noch nicht ausgereift

Single Sign-on wäre extrem bequem. Schon allein heute Morgen habe ich drei Formulare für die Registrierung auf Webseiten ausgefüllt, wobei jeweils neue Benutzernamen und Passwörter erforderlich waren, um Probeversionen von aktueller Software herunterzuladen. Mit OpenID kann man auf die vielen Anmeldeformulare verzichten, wenn die Websites mit dem Dienst “Attribute Exchange” erweitert sind. Damit wird den Webseiten gestattet, die persönlichen Daten vom gewählten Provider der OpenID abzurufen.

Leider gibt es aber ein paar Probleme mit OpenID. Eines ist seine Anfälligkeit für Phishing. Ein Nutzer, der sich auf eine Seite einloggen will, die behauptet OpenID zu unterstützen, kann durchaus seinen Benutzernamen und das Passwort auf eine gefälschte Seite eintippen. Ein anderer Schwachpunkt ist, dass OpenID von einer Identifikation in der URL abhängt; der Identifier führt aber das Routing zur richtigen Maschine im Internet durch. Das wiederum hängt vom Domain Name System (DNS) ab, welches Namen in Internetadressen umsetzt – und von dem man weiß, dass es mit Sicherheits-Schwachstellen behaftet ist.


Warnung: OpenID ist kein Allheilmittel

OpenSource-Identifikations-Systeme sind noch nicht ausgereift

Die OpenID-Spezifikation verlangt noch nicht einmal die Transport Layer Security (TLS ist ein Verschlüsselungsprotokoll für Datenübertragungen im Internet) von jeder Website, die bei dem Authentifizierungsprozess mitmacht. Sie gestattet ordnungsgemäß gesicherte Authentifizierung, besteht aber nicht darauf – eine vergebene Chance. Der Knackpunkt bei jeglicher Single Sign-On Methode ist, dass bei Diebstahl der Berechtigungsnachweise (Credentials) der Dieb Zugang nicht nur zu einem, sondern zu mehreren Accounts bekommt.

Es ist leichter, die Sicherheitsprobleme bei OpenID zu lösen als Millionen von individuellen Webseiten mit schwacher Authentifizierung in Ordnung zu bringen. Aber OpenID ist kein Allheilmittel. Im Moment ist es für Kommentare bei Blogs oder die Anmeldung für Trial-Software geeignet aber nicht für E-Commerce oder Online-Banking. Ich hätte ein gutes Gefühl, wenn Webseiten, die OpenID akzeptieren, darauf bestehen, dass es auf sichere Art und Weise genutzt wird. Die Arbeiten zur Integration mit CardSpace werden die Anfälligkeit für Phishing beseitigen. Wenn das dann noch mit TLS kombiniert wird, ist OpenID ein echter Schritt in Richtung sicheres Internet. Andernfalls könnte das Ganze in einer großen Katastrophe enden.