Generalschlüssel fürs Web: So funktioniert Open ID

Während der Web-Generalschlüssel für Anwender zweifelsohne eine praktische Sache ist, wirft die Sicherheit eines solchen Systems Fragen auf. Wie beim Pendant in der realen Welt gilt nämlich: Wer über den Schlüssel verfügt, kommt überall rein.

Wie man Log-ins und andere sensible Informationen abgreift, zeigen täglich zahllose Phishing-Angriffe. Im Falle von Open ID könnten Nutzer auf eine gefälschte Kopie der Provider-Website weitergeleitet werden, um sich dort vermeintlich zu authentifizieren.

Yahoo, seit Anfang des Jahres Provider von Open IDs, begegnet diesem Problem mit einer personalisierbaren Text- oder Bildnachricht, die auf der Log-in-Seite angezeigt wird. Phisher können diese nicht nachbilden. Der Einsatz solcher Maßnahmen ist aber nicht vorgeschrieben – mit anderen Providern könnten Bösewichte daher leichteres Spiel haben. Daher ist zu erwarten, dass besonders sensible Anwendungen durch weitere Maßnahmen abgesichert werden, etwa eine PIN.

Die große Flexibilität auf Providerseite könnte unter Gesichtspunkten des Datenschutzes Probleme bereiten. Wie die Log-in-Daten gespeichert werden, ist nämlich nicht festgelegt. Hier lohnt es sich, genauer hinzusehen und auf Anbieter mit Erfahrung zu setzen. Da der Provider erfasst, wann man sich wo eingeloggt hat, sollte man sich gut überlegen, bei wem solche Daten hoffentlich in guten Händen sind.