OpenID ist ein offener, dezentraler und URL-basierter Standard für Single Sign-On im Internet. Bei der Technologie Single Sign-On besitzt der Nutzer nur noch einen Identifikator (Nutzernamen) und ein stark gewähltes Passwort oder einen anderen Faktor. Der große Nutzen von SSO ist die einmalige Anmeldung beim Identity Provider (ID-Provider) und die anschließende Nutzung aller angeschlossenen Internetdienste. Die Zugangsdaten eines Nutzers müssen nicht mehr an vielen Punkten im Internet, bei verschiedenen Internetdiensten, hinterlegt werden, sondern nur noch an einer zentralen und vertrauenswürdigen Stelle – bei dem Identity Provider.
Das OpenID-Protokoll (OID-Protokoll) OpenID ist ein offener Standard für Single Sign-On im Internet. Der Sicherheitsdienst agiert dezentral und URL-basiert. Das bedeutet, dass ein Nutzer sowohl seine digitale Identität als auch seinen Identity Provider frei wählen kann. Die Identifizierung eines Nutzers erfolgt grundsätzlich über den Beweis des „Besitzes“ einer URL, der sogenannten OpenID-Identität, zum Beispiel https://openid.internet-sicherheit.de/NorbertPohlmann. Vor der eigentlichen Nutzung des OID-Protokols muss sich ein Nutzer eine OpenID-Identität erstellen.
Hierfür sind grundsätzlich vier Schritte notwendig:
1. Wahl des OpenID-Providers: Der Nutzer wählt einen vertrauenswürdigen OpenID-Provider (OP), der fortan für die Bestätigung der digitalen Identität zuständig ist. Dieser repräsentiert den Identity Provider im SSO-Gesamtbild.
2. Wahl des Identifikators: Der Nutzer wählt eine URL, die eigentliche OID-Identität. Diese URL repräsentiert die digitale Identität des Nutzers und wird den Internetdiensten anstelle eines Nutzernamens präsentiert. Ein Nutzer hat fortan nicht mehr viele verschiedene Nutzernamen, sondern nur noch einen Identifikator: die OID-Identität.
3. Eingabe persönlicher Informationen: Wenn gewünscht, kann der Nutzer Informationen wie etwa Vor- und Zuname oder E-Mail-Adresse bei dem OP hinterlegen. Da die Eingabe der Informationen dem Nutzer freigestellt ist, kann dieser zum Beispiel lediglich ein Pseudonym hinterlegen oder ein vollständiges Profil. Mittels des OID-Protokolls kann ein Internetdienst nicht nur die Authentisierung des Nutzers anfragen, sondern optional auch weitere Informationen. Diese gibt der Nutzer in jedem Fall gesondert frei.
4. Festlegung der Zugangsdaten: Bei der Registrierung der OID-Identität hinterlegt der Nutzer seine Zugangsdaten. Das sind für gewöhnlich eine Kombination aus Nutzername und Passwort oder weitere Faktoren. Hierüber wird der Nutzer vom OP wiedererkannt. Nachdem ein Nutzer einmalig eine OpenID-Identität angelegt hat, können sämtliche OpenID unterstützenden Internetdienste genutzt werden. Dies kann im Grunde ebenfalls in vier Schritte eingeteilt werden:
A) Aufruf der Log-in-Seite: Der Nutzer möchte einen OpenID-fähigen Internetdienst nutzen und ruft die entsprechende Webseite mit dem Log-in-Formular auf.
B) Behauptung der Identität: Statt wie gewohnt eine Nutzername-Passwort-Kombination einzugeben, übermittelt der Nutzer lediglich die OpenID-Identität. Der Nutzer behauptet seine digitale Identität darüber, dass er den Besitz einer URL, der OpenID-Identität, vorgibt.
C) Beweis der behaupteten Identität: Der Internetdienst führt den Beweis der behaupteten Identität nicht selbst durch, sondern leitet den Nutzer zu dem entsprechenden OpenID-Provider weiter. Der Nutzer meldet sich dort, sofern noch nicht geschehen, an. Wenn der Log-in, das heißt, die Authentisierung beim OP erfolgreich verlief, hat der Nutzer den Besitz der OpenID-Identität und somit auch die eigene digitale Identität bewiesen. Dieses Ergebnis teilt der OP dem Internetdienst mit und leitet den Nutzer zurück.
D) Nutzung des Internetdienstes: Wenn die Antwort des OpenID-Providers positiv ausfällt, so kann der Internetdienst die Identität des Nutzers als bestätigt ansehen und die Nutzung freigeben. Die Bestätigung der Identität wurde faktisch ausgelagert.
Vor- und Nachteile der Auslagerung der Authentifizierung
Die Auslagerung der Authentifizierung seitens der Internetdienste hin zu dem OpenID-Provider bringt mehrere Vorteile, birgt aber auch verschiedene Gefahren. Ein Vorteil ist die Zentralisierung der Authentisierung. Der Nutzer kann sich die Instanz für den Beweis der Identität bewusst aussuchen und diese besser sichern. Die Zugangsdaten sind nicht mehr bei vielen Internetdiensten verteilt, sondern liegen nur noch bei dem eingesetzten OP. Für die Internetdienste, die OpenID einsetzen, ergibt sich der Vorteil, dass verschiedene Methoden zur Authentisierung angeboten beziehungsweise genutzt werden können. Ein Internetdienst kann beispielsweise das Log-in mittels Nutzername und Passwortanbieten, aber indirekt auch sämtliche Methoden, die der OP des Nutzers anbietet. Der Internetdienst lagert die Authentisierung des Nutzers aus.
Nachteilig an OpenID beziehungsweise an SSO im Generellen ist der Single Point of Failure.
Ein Angreifer kann mittels eines DDoS-Angriffs den zentralen OpenID-Provider lahmlegen und somit die Log-in-Versuche des Nutzers erschweren oder temporär unmöglich gestalten. Schließlich ist OpenID hochgradig anfällig gegenüber Phishing. Kopiert ein Angreifer die Log-in-Seite und „phisht“ so das Passwort eines Nutzers, kann er diese Identität missbrauchen. Eine Maßnahme gegen die Hauptkritik von OpenID – Phishing – ist der Einsatz einer Multifaktor-Authentisierung.
OpenID ist ein offener, dezentraler und URL-basierter Standard für Single Sign-On im Internet, bei dem der Nutzer nur noch einen Identifikator besitzt. Die Zugangsdaten eines Nutzers liegen nur noch an einer zentralen und vertrauenswürdigen Stelle – bei dem Identity Provider.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
OpenID Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten
