slider

OpenID - Prof. Dr. Norbert Pohlmann

OpenID

OpenID als ID-Provider

Was ist OpenID?


OpenID ist ein offener, dezentraler und URL-basierter Standard für Single Sign-On im Internet. Bei der Technologie Single Sign-On besitzt der Nutzer nur noch einen Identifikator (Nutzernamen) und ein stark gewähltes Passwort oder einen anderen Faktor. Der große Nutzen von SSO ist die einmalige Anmeldung beim Identity Provider (ID-Provider) und die anschließende Nutzung aller angeschlossenen Internetdienste. Die Zugangsdaten eines Nutzers müssen nicht mehr an vielen Punkten im Internet, bei verschiedenen Internetdiensten, hinterlegt werden, sondern nur noch an einer zentralen und vertrauenswürdigen Stelle – bei dem Identity Provider.

Das OpenID-Protokoll (OID-Protokoll)
OpenID ist ein offener Standard für Single Sign-On im Internet. Der Sicherheitsdienst agiert dezentral und URL-basiert. Das bedeutet, dass ein Nutzer sowohl seine digitale Identität als auch seinen Identity Provider frei wählen kann. Die Identifizierung eines Nutzers erfolgt grundsätzlich über den Beweis des „Besitzes“ einer URL, der sogenannten OpenID-Identität, zum Beispiel https://openid.internet-sicherheit.de/NorbertPohlmann. Vor der eigentlichen Nutzung des OID-Protokols muss sich ein Nutzer eine OpenID-Identität erstellen.

Übersicht und Zusammenhänge

OpenID als Modell eines ID-Providers dargestellt
Abbildung: OpenID als Modell eines ID-Providers – © Copyright-Vermerk

Hierfür sind grundsätzlich vier Schritte notwendig:

1. Wahl des OpenID-Providers:
Der Nutzer wählt einen vertrauenswürdigen OpenID-Provider (OP), der fortan für die Bestätigung der digitalen Identität zuständig ist. Dieser repräsentiert den Identity Provider im SSO-Gesamtbild.

2. Wahl des Identifikators:
Der Nutzer wählt eine URL, die eigentliche OID-Identität. Diese URL repräsentiert die digitale Identität des Nutzers und wird den Internetdiensten anstelle eines Nutzernamens präsentiert. Ein Nutzer hat fortan nicht mehr viele verschiedene Nutzernamen, sondern nur noch einen Identifikator: die OID-Identität.

3. Eingabe persönlicher Informationen:
Wenn gewünscht, kann der Nutzer Informationen wie etwa Vor- und Zuname oder E-Mail-Adresse bei dem OP hinterlegen. Da die Eingabe der Informationen dem Nutzer freigestellt ist, kann dieser zum Beispiel lediglich ein Pseudonym hinterlegen oder ein vollständiges Profil. Mittels des OID-Protokolls kann ein Internetdienst nicht nur die Authentisierung des Nutzers anfragen, sondern optional auch weitere Informationen. Diese gibt der Nutzer in jedem Fall gesondert frei.

4. Festlegung der Zugangsdaten:
Bei der Registrierung der OID-Identität hinterlegt der Nutzer seine Zugangsdaten. Das sind für gewöhnlich eine Kombination aus Nutzername und Passwort oder weitere Faktoren. Hierüber wird der Nutzer vom OP wiedererkannt. Nachdem ein Nutzer einmalig eine OpenID-Identität angelegt hat, können sämtliche OpenID unterstützenden Internetdienste genutzt werden. Dies kann im Grunde ebenfalls in vier Schritte eingeteilt werden:

  • A) Aufruf der Log-in-Seite:
    Der Nutzer möchte einen OpenID-fähigen Internetdienst nutzen und ruft die entsprechende Webseite mit dem Log-in-Formular auf.
  • B) Behauptung der Identität:
    Statt wie gewohnt eine Nutzername-Passwort-Kombination einzugeben, übermittelt der Nutzer lediglich die OpenID-Identität. Der Nutzer behauptet seine digitale Identität darüber, dass er den Besitz einer URL, der OpenID-Identität, vorgibt.
  • C) Beweis der behaupteten Identität:
    Der Internetdienst führt den Beweis der behaupteten Identität nicht selbst durch, sondern leitet den Nutzer zu dem entsprechenden OpenID-Provider weiter. Der Nutzer meldet sich dort, sofern noch nicht geschehen, an. Wenn der Log-in, das heißt, die Authentisierung beim OP erfolgreich verlief, hat der Nutzer den Besitz der OpenID-Identität und somit auch die eigene digitale Identität bewiesen. Dieses Ergebnis teilt der OP dem Internetdienst mit und leitet den Nutzer zurück.
  • D) Nutzung des Internetdienstes:
    Wenn die Antwort des OpenID-Providers positiv ausfällt, so kann der Internetdienst die Identität des Nutzers als bestätigt ansehen und die Nutzung freigeben. Die Bestätigung der Identität wurde faktisch ausgelagert.


Vor- und Nachteile der Auslagerung der Authentifizierung

Die Auslagerung der Authentifizierung seitens der Internetdienste hin zu dem OpenID-Provider bringt mehrere Vorteile, birgt aber auch verschiedene Gefahren. Ein Vorteil ist die Zentralisierung der Authentisierung. Der Nutzer kann sich die Instanz für den Beweis der Identität bewusst aussuchen und diese besser sichern. Die Zugangsdaten sind nicht mehr bei vielen Internetdiensten verteilt, sondern liegen nur noch bei dem eingesetzten OP. Für die Internetdienste, die OpenID einsetzen, ergibt sich der Vorteil, dass verschiedene Methoden zur Authentisierung angeboten beziehungsweise genutzt werden können. Ein Internetdienst kann beispielsweise das Log-in mittels Nutzername und Passwortanbieten, aber indirekt auch sämtliche Methoden, die der OP des Nutzers anbietet. Der Internetdienst lagert die Authentisierung des Nutzers aus.

Nachteilig an OpenID beziehungsweise an SSO im Generellen ist der Single Point of Failure.

Ein Angreifer kann mittels eines DDoS-Angriffs den zentralen OpenID-Provider lahmlegen und somit die Log-in-Versuche des Nutzers erschweren oder temporär unmöglich gestalten. Schließlich ist OpenID hochgradig anfällig gegenüber Phishing. Kopiert ein Angreifer die Log-in-Seite und „phisht“ so das Passwort eines Nutzers, kann er diese Identität missbrauchen. Eine Maßnahme gegen die Hauptkritik von OpenID – Phishing – ist der Einsatz einer Multifaktor-Authentisierung.

OpenID als ID-Provider
Abbildung: OpenID als ID-Provider – © Copyright-Vermerk



Weitere Informationen zum Begriff “OpenID”

Artikel:
Identitäts-Check anhand sozialer Netzwerke – Das Social-Ident-Projekt

Wenn der Softbot menschliche Identität bestätigt – VideoIdent-Verfahren: Die Technik

Doubtless Identification and Privacy Pre-serving of User in Cloud Systems


Identity Provider zur Verifikation der vertrauenswürdigen digitalen Identität

Sichere mobile Identifizierung und Authentisierung

eID Online Authentication Network Threat Model, Attacks and Implications

Integration biometrischer Anwendungen in Sicherheitsinfrastrukturen

Wertschöpfung der Digitalisierung sichern – Vier Cybersicherheitsstrategien für den erfolgreichen Wandel in der IT“

Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen

Risikobasierte und adaptive Authentifizierung

Eine vertrauenswürdige Zusammenarbeit mit Hilfe der Blockchain-Technologie

Künstliche Intelligenz und Cybersicherheit – Unausgegoren aber notwendig“

Vertrauen – ein elementarer Aspekt der digitalen Zukunft

Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit

Bücher:

Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)
Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Zurück zur Übersicht




Summary
OpenID
Article Name
OpenID
Description
OpenID ist ein offener, dezentraler und URL-basierter Standard für Single Sign-On im Internet, bei dem der Nutzer nur noch einen Identifikator besitzt. Die Zugangsdaten eines Nutzers liegen nur noch an einer zentralen und vertrauenswürdigen Stelle – bei dem Identity Provider.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
OpenID als ID-Provider
OpenID Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten