Nachdem wir nun grob wissen, was OpenID ist, wie es funktioniert und was man alles damit anstellen kann, dachte ich, es wäre ganz nett, einmal ein paar Expertenmeinungen über OpenID zu hören. Carsten Pötter, der unter www.spreadopenid.org über OpenID bloggt und Matthias Pfefferle, der mit seinem Notizblog alles Rund ums offene Web unter die Lupe nimmt, waren so freundlich mir ein paar Fragen zu OpenID zu beantworten. Die Antworten darauf möchte ich Euch natürlich nicht vorenthalten:

Welchen Vorteil siehst Du für den Nutzer in OpenID?

C.P.:
Registrierungsformulare gehören der Vergangenheit an. In den kommenden Jahren werden immer mehr Aufgaben und Dienste in das Netz verlagert, Stichwort Cloud Computing. Bereits heute haben viele Menschen ihre Bookmarks, Fotos, Adressbücher, Kalender,… im Netz. Dieser Trend wird sich in den nächsten Jahren noch weiter verstärken. Noch mehr Benutzernamen und Passwörter. Die Nutzer werden das nicht länger hinnehmen.

OpenID kann sicherer sein als bisher bekannte Login Verfahren. Mit der Wahl eines geeigneten Providers ist OpenID resistent gegen Phishing (Login mit Browserzertifikaten, Information Cards,…).

Mit der Zunahme von Diensten im Netz und der weiteren Nutzung von Social Networks wird der Aufbau einer Identität im Netz für viele Menschen immer wichtiger. OpenID bildet hier einen wesentlichen Bestandteil für eine Onlineidentität.

OpenID ist zusammen mit OAuth und OpenSocial – der sogenannte Open Stack – ebenfalls ein essentieller Bestandteil des Open Web. Wollen Nutzer ihre Daten zwischen Diensten austauschen oder zusammen führen, haben sie die Wahl zwischen einer auf offenen Standards aufbauenden Lösung oder proprietären Lösungen wie Facebook Connect. Die Frage ist, ob jeder alle Daten z.B. Facebook anvertrauen möchte. Mit Hilfe des Open Stack wird es möglich sein, die Daten auf verschiedene Anbieter aufzuteilen.

M.P.:
Richtig implementiert, ersetzt OpenID den kompletten Anmelde- und Registrierungs-Prozess ohne ein einziges Passwort angeben zu müssen.

Welche Risiken könnten sich aus Plattform übergreifenden Lösungen wie OpenID ergeben?

C.P.:
Es kann schlechte Implementationen geben, die nicht kompatibel zu Lösungen anderer Anbieter sind. Hier liegt der Vorteil klar bei einem fertigen Produkt wie Facebook Connect.

Nutzer könnten mit dem Konzept der Daten Portabilität dazu verleitet werden, zuviel ihrer Privatsphäre preis zu geben. Das betrifft aber nicht nur Lösungen mit offenen Standards, sondern auch proprietäre Lösungen wie Facebook Connect. Hier müssen die Nutzer noch weiter aufgeklärt werden.

M.P.:
Man sollte sich immer bewusst sein, dass OpenID zur zentralen Account-Verwaltung wird… geht das Passwort verloren, schließt der OpenID-Betreiber seinen Service oder wird der OpenID-Account gehackt, verliert man im schlimmsten Fall den Zugang zu all seinen Online-Profilen.

Gerade in Deutschland setzt sich OpenID eher schleppend durch und auch die meisten Plattformbetreiber kochen lieber ihr eigens Süppchen. Wo siehst Du solche Technologien wie OpenID in Zukunft? Wird sie sich durchsetzen? Kannst Du eine Prognose abgeben?

C.P.:
Es ist schwer zu prognostizieren, ob sich OpenID, etc durchsetzen werden. Die Chancen stehen jedoch nicht schlecht, da von vielen großen Anbietern im Netz diese Technologien bereits unterstützt werden. Des Weiteren öffnen sich große Content Anbieter wie die BBC diesen Technologien (die BBC ist Mitglied der OpenID Foundation). Dadurch werden sie früher oder später auch Nutzern bekannt und zugänglich, die das Netz bislang nur sporadisch nutzen.

M.P.:
Ich glaube dass viele Firmen (nicht alle) eigene Systeme entwickeln, weil sie es einfach nicht besser wissen. Das Thema OpenID oder allgemein „Open Web“ ist immer noch ein eher spärlich behandeltes Thema in deutschen Weblogs oder auf deutschen Barcamps. Trotzdem glaube ich dass sich OpenID über längere Zeit auch hier durchsetzen wird, da keine vergleichbaren Alternativen vorhanden sind und deutsche Plattformen in Zugzwang geraten werden wenn große amerikanische Firmen wie Google und Yahoo! ihre OpenID-Dienste weiter ausbauen werden.

Warum sollte ein Betreiber einer Plattform Ressourcen aufbringen, um OpenID zu implementieren? Was genau hat der Betreiber davon?

C.P.:
Der Zeitaufwand für die Implementierung von OpenID dürfte sehr überschaubar sein; ein Tag wahrscheinlich. Natürlich sollte sich ein Betreiber zuvor Gedanken über Usability, User Experience, etc gemacht haben, d.h. da geht auch Zeit verloren. Aber die reine Implementierung geht sehr schnell, da auf fertige Bibliotheken zurückgegriffen werden kann (PHP, Java, Python, Perl, C++, Ruby,…).

Betreiber senken die Eintritthürden für neue Nutzer erheblich, da die Nutzer nicht mehr nervige Registrierungsformulare ausfüllen müssen. Die wichtigsten (oder gar die meisten) Daten lassen sich über die Simple Registration Erweiterung bzw. über Attribute Exchange direkt vom OpenID Provider abrufen. Da eine Plattform bei jedem Login des Nutzers diese Daten erneut abrufen kann, hat sie immer aktuelle Daten, da diese im Idealfall nur noch beim OpenID Provider gepflegt werden müssen.
Je nach Anwendungsfall kann die komplette Userverwaltung auf den OpenID Provider ausgelagert werden, d.h. die Plattform muss keine Nutzerdaten speichern. Das spart Kosten.

M.P.:
Es ist erwiesen dass eine ganze Reihe an potenziellen Usern, durch zu lange oder komplizierte Anmeldevorgänge schon während der Registrierung abspringen. Mit OpenID würde man eventuell auch Kunden anziehen die sich die Plattform nur mal kurz von innen anschauen wollen.
Für Internetshops könnte man über OpenID und PayPal z.B. auch Bestellungen tätigen ohne sich zuvor umständlich registrieren zu müssen, was sich gerade für kleinere Online-Kaufhäuser lohnen könnte.

Zusatzfrage: Was erzählst Du Deiner Oma, wenn sie Dich fragt, was Du beruflich machst?

C.P.:
Die Rente ist sicher.
Ich arbeite für die Deutsche Rentenversicherung Hessen und habe beruflich nichts mit dem Web, etc. zu tun.

M.P.:
Omi, ich versuche das Internet etwas einfacher zu gestalten (Das Internet hab ich ihr schon erklärt).

Ich bedanke mich bei den Beiden, dass sie sich die Zeit genommen haben, um meine Fragen zu beantworten. Wie man deutlich aus den Antworten herauslesen kann, gibt es eigentlich kaum Risiken und Nachteile an einer OpenID-Implementierung und auch der Zeitaufwand, einen Client zu implementieren ist überschaubar. Solche Ausreden von Plattformbetreibern werden damit ab sofort also nicht mehr gelten gelassen .

Dies bringt mich dann auch zum nächsten Punkt meiner (durchaus noch ausbaufähigen) journalistischen Fähigkeiten. Ich habe mir einmal erlaubt, die für mich größten und verbreitesten Communities innerhalb Deutschlands anzuschreiben und zu erfragen, ob sie in der nächsten Zeit Schritte in Richtung OpenID planen. Das waren: Xing, StudiVZ, Wer kennt wen? und LastFm. Leider war das Ergebnis sehr dürftig bis nicht vorhanden. Keinen Plan, woran es lag. Wie gesagt, ich schließe meine mangelenden journalistischen Fähigkeiten nicht aus, allerdings hege ich auch den Verdacht, das der jeweilige Support nicht wußte, was ich wollte und damit keine Ahnung hatte, was man mir Antworten sollte. Nun gut, immerhin eine Antwort habe ich bekommen, und zwar von den netten Menschen von Xing. Die Antwort ist allerdings eher erheiternd als aufschlußreich, aber auch diese möchte ich gerne mit Euch teilen:

Ich hätte gerne gewußt, ob auch Sie demnächst die Integration eines OpenID-Login planen, da es für den Nutzer sicherlich einige Vorteile bietet?

Xing-Support: vielen Dank für Ihre Nachricht.
Die Anregungen unserer Mitglieder sind uns sehr wichtig, da wir diese für Überlegungen zur Optimierung der Plattform gerne berücksichtigen. Wir werden Ihren Vorschlag an die zuständige Abteilung weiterleiten.

Hm..nun nicht unbedingt das, was ich mir erhofft hatte, aber immerhin haben sie Interesse geheuchelt. Im Vergleich zu den anderen jede Menge mehr, denn die hab ich sogar zweimal angeschrieben und beim zweiten mal sogar ausführlicher erleutert, worum es geht. Ich lasse das jetzt mal kommentarlos so stehen.

Zum Schluß kommen aber noch ein paar gute Nachrichten. Und zwar hat es insgesamt den Anschein, als würde OpenID immer mehr Freunde finde. JanRain veröffentlichte im Januar die Relaying-Party-Statistik, die einen deutlichen Anstieg im letzten Jahr an OpenID-Client-Implementierungen erkennen läßt.

Wäre schön, wenn die Statistik für dieses Jahr genaus aussehen könnte…warten wirs ab.

So, ich denke, das ist ein schöner Abschluß (vorerst) von OpenID. Beim nächsten mal gehts dann um oAuth.

Bei der Recherche für die letzten Posts über OpenID bin ich immer wieder auf Diskussionen über die Problematik gestossen, wie man dem User nun letztendlich beibringen soll, sich eine bestimmte URL zur Anmeldung zu merken, nachdem er sich nun seit Anbeginn des Internetz mit einem frei gewähltem Benutzernamen oder einer Email-Adresse eingeloggt hat. Die Meinungen der OpenID interessierten Internetgemeinde spalten sich dabei im Großen und Ganzen in zwei Lager.

Da hätten wir auf der einen Seite Jene, die finden, dass man mit ausreichenden Marketing- und Aufklärungsmaßnahmen den Begriff OpenID und was dahinter steckt an die Frau bringen sollte. Dabei würde der User quasi so umerzogen, dass er nicht mehr in Email-Adressen, sondern in (Profil-)Urls denkt. Die Argumentationskette baut dabei darauf auf, dass, sobald der User erst einmal Verstanden hat, was eine OpenID ist und man ihm diesen Begriff nur oft genug auf die Nase bindet, er es auch toll finden und benutzen wird. Zugegeben, im ersten Moment war auch ich dieser Ansicht: Man muss es nur lange genug propagieren und erklären, dann werden die Leute schon kommen. Als damals die Emails erfunden wurden, waren die Leute auch nicht direkt hell auf begeistert und warscheinlich eher skeptisch. Zeit, Aufklärungsarbeit und Durchhaltevermögen werdens schon richten.

Auf der anderen Seite gibt es diejenigen, die finden, dass der User von OpenID und der Technik die dazu gehört generell überhaupt nichts mitbekommen sollte. Er benutzt also die OpenID-Implementierungen und weiß eigentlich davon gar nichts. Zurecht wird sich jetzt so manch einer fragen, wie dies möglich sein soll. Nun, prinzipiell ist die Antwort darauf nicht besonders schwierig. Man nehme einfach etwas, was der User sowieso schon kennt und dem er vertraut. Dies könnte beispielsweise ein Account einer Internetplatform oder vielleicht sogar wieder die altbekannte Email-Adresse sein, was bedeuten würde, dass sich für den User im ersten Moment nicht viel ändert und niemand von ihm verlangt plötzlich Sachen zu verstehen, die ihn bisher auch nicht interessiert haben: Nämlich wie etwas funktioniert.
Nun haben wir in der letzten Zeit bereits gelernt, dass der OpenID-Standart ja eigentlich auf im Internet einzigartigen URLs basiert, wieso und weshalb denn jetzt auf einmal wieder Account-Daten und Email-Adressen? Mit der OpenID 2.0 Spezifikation geändert und trägt den Namen Directed Identity.

Das ganze funktioniert prinzipiell genauso, wie ein ganz normaler OpenID-Login und die Großen mit Namen Google und Yahoo machens uns mal wieder vor. So bekommt man bei Directed Identity unterstützenden OpenID-Clients wie z.B. Plaxo -neben dem gewöhnlichen OpenID-Login- Links angeboten, die da lauten: ‘Sign in with Yahoo! Id’ oder ‘Sign In with a Google Account’. Klickt man nun diese, so wird man ganz normal auf den Google- oder Yahoo!-Login umgeleitet, wo man, wie beim normalen OpenID-Login auch, nur noch die Webseite, in unserm Beispiel also Plaxo, bestätigen muss. Fertig.
Man konnte sich also bei einem Service anmelden, ohne zuvor mit OpenID oder der Technik, die dazu gehört, vertraut zu sein. Der User benutzt zum Login nur dass, was er sowieso schon kennt: Einen Account und meiner Ansicht nach wird der Nutzer dies wohl eher einmal ausprobieren, als einen klassischen OpenID-Login, wo er nichts mit anfangen kann ohne zuvor lange Erklärungstexte zu gelesen zu haben.

Directed Identity ist demnach also eine Möglichkeit, den User an OpenID heranzuführen, ohne ihn zu überfordern, denn das OpenID-Icon und die Möglichkeit eines normalen OpenID-Logins sollte und ist natürlich immer gegeben neben den Account-Logins mit Google oder Yahoo!. Deswegen ist es meines Erachtens unerlässlich, dass sowohl die Provider, als natürlich auch die Clients, schnellst möglich OpenID 2.0 mit Directed Identity (und natürlich noch weiteren Neuerungen, wie z.B. Attribute Exchange 1.0) implementieren sollten, denn auch ich bin inzwischen zu der Meinung übergelaufen, dass es recht unwarscheinlich ist, dass der User auf einmal beginnen wird, sich URLs zu merken. Durch Directed Identity wird er aber einen Zugang zu OpenID finden, was dann vielleicht und hoffentlich in Zukunft weiter ausbaubar ist und sich dann schlußendlich auch durchsetzen wird.

Allerdings gibt es auch einen Kritikpunkt am ‘Anmelden mit Account’, der nicht zu unterschätzen ist: Die Platzherrschaft der Großen. Denn es könnte sehr schwer werden für OpenId-Provider wie xlogon und Co. sich durchzusetzen, wenn bei jedem OpenID-Login Google und Yahoo! zur Auswahl stehen. Denn warum sollte sich der User für einen eher unbekannten OpenID-Provider entscheiden, wenn er einfach und schnell auch seinen Google-Account, den er sowieso schon hat, zum Login benutzen kann. Es bleibt die kleine Hoffnung, dass der moderne Internetnutzer intelligent mit seinen Möglichkeiten umgeht und sich für solche, z.T. auch sensiblen Vorgänge und Daten die dort behandelt werden, eher einer Plattform anvertraut, die nicht schon alles andere für ihn tut und über ihn weiß.

Da wir jetzt wissen, was der Unterschied zwischen einem OpenID-Provider und einem OpenID-Client (Relaying-Party) ist und was man mit einer OpenID so alles anstellen kann, wird es an der Zeit, ein paar Services vorzustellen und etwas genauer unter die Lupe zu nehmen.

OpenID-Provider: Hier bekommst du eine OpenID

xlogon (deutsch). OpenID: http://xlogon.net/BENUTZERNAME
xlogon wirkt sehr übersichtlich und aufgeräumt und scheint zu wissen, was es ist: ein OpenID-Provider. Nicht mehr und auf keinen Fall weniger. Ein leicht zu verstehendes und übersichtliches User-Interface navigiert den Nutzer durch die Thematik. Direkt nach dem Login bekommt man einen Überblick und eine kurze, gute Erklärung über den Funktionsumfang. Neben sReg für eine einfachere Registrierung und der Möglichkeit zum Anlegen dazugehöriger Personas bietet xlogon einen Phishing-Schutz, der vor einem Mißbrauch von OpenIDs schützen soll. Daumen hoch von mir für xlogon.

Communipedia (deutsch, englisch). OpenID: http://BENUTZERNAME.yiid.net
Communipedia bietet mit seiner OpenID, der sogenannten yiid (your internet identity) eine stabile und für den User einigermaßen übersichtliche Provider-Implementierung.
Unterstützungen von OpenID-Erweiterungen wie sReg fehlen zu diesem Zeitpunkt allerdings noch, wobei aber zu berücksichtigen ist, dass Communipedia sich noch in der Closed-Beta-Phase befindet. Nach Aussagen der Entwickler werden diese Funktionalitäten, ebenso wie die Möglichkeit zum Anlegen verschiedener Personas, in den nächsten Wochen/Monaten in Angriff genommen und damit so schnell wie möglich nachgereicht. Wer einen Invite-Code möchte, um die Fortschritte bei Communpedia zu verfolgen oder sich seine yiid sichern möchte, kann diesen bei mir anfragen.

meinguter.name (deutsch). OpenID: https://BENUTZERNAME.meinguter.name
Nicht ganz so übersichtlich und fokusiert wie xlogon präsentiert sich meinguter.name. Mit seiner ‘Ego-Surfing’-Funktionalität, die im Netz nach Informationen zur eigenen Person zu suchen scheint, bietet die Plattform zwar eine nettes Gimmick an, doch leider erfährt man innerhalb der Seite wenig über OpenID und wozu es gut ist, was mir derzeit aber noch unerläßlich scheint. meinguter.name hat zwar eine sReg-Erweiterung implementiert, leider kann man aber auch hier nur eine Persona angeben. Da auch bei meinguter.name noch ein Beta-Stempel zu sehen ist, ist allerdings zu erwarten, dass an weiteren Provider-Funktionen noch gearbeitet wird. Warten wirs also ab.

myopenid (englisch). OpenID: http://BENUTZERNAME.myopenid.com
Innovativ, stabil, gut. Eigentlich gibt es über myopenid nicht mehr zu sagen. myopenid ist ein OpenID-Provider, der wirklich alles bietet, was man sich von einem Provider wünscht. Zudem zeigt myopenid sehr viel Kreativität und Entwicklungsarbeit in Sachen Funktionsumfang für OpenID, was wohl allerdings auch daran liegt, dass hinter myopenid die JanRain Inc. steckt, die man wohl als Vorreiter in Sachen OpenID bezeichnen kann. Für den Otto-Normal-User ist myopenid fast schon etwas zu umfangreich und man könnte gegebenenfalls manchmal etwas überfordert werden in Usability und ‘Wofür ist jetzt eigentlich dieser Menupunkt’. Damit ist die Seite also wohl eher etwas für Fortgeschrittene. Hinzukommt, das die Unterseiten bisher nur teilweise ins Deutsche übersetzt sind, was das Verständnis mit eher rudimentäreren Englisch-Kenntnissen nicht unbedingt einfacher macht.

myvidoop (englisch). OpenID: http://BENUTZERNAME.myvidoop.com/
Sicherheit und Schutz vor Mißbrauch ist bei myvidoop anscheinend sehr groß geschrieben, was einen auf der einen Seite zwar freut, andererseits mit der Zeit aber auch anfängt zu nerven. Möchte man sich bei myvidoop oder mit der myvidoop-OpenID anmelden, so muss man zunächst über einen Freischaltungscode, den man per Email bekommt, den Browser/PC bestätigen. Damit aber nicht genug, nachdem man den Freischaltungscode eingegeben hat wird man gebeten, statt eines Passworts eine Bilderkombination wiederzuerkennen, die man bei der myvidoop-Registrierung ausgewählt hat. Dieser Prozess bietet natürlich einen größeren Schutz vor Mißbrauch, als bei herkömmlichen Providern, doch wie gesagt, mich nervt es ein wenig und damit wird myvidoop vermutlich nicht mein bevorzugter OpenID-Provider. Vom Funktionsumfang her bietet die Seite zwar sReg-Unterstützung an, leider aber nicht die Auswahl von Personas. Insgesamt finde ich die Plattform Usability-Technisch grenzwertig.

Ausgewählte OpenID-Clients: Einloggen/Registrieren mit OpenID

• Sixgroups (deutsch): Community-Lösungen für jedermann, insbesondere eine Community-Applikation für jede Website.
• Mixxt (deutsch): Online-Baukasten für Social Networks
• Communipedia (deutsch, englisch): Community-Verzeichnis/-Suche. Portables Netzwerk. Noch Closed Beta.
• Magnolia (englisch): Bookmark-Service
• Plaxo (englisch): Portables Netzwerk

Artikel/Seiten über OpenID

• t3n magazin (deutsch): Artikel über die Vor- und Nachteile von OpenID
• spreadopenid (englisch): Webblog über OpenID von Carsten Pötter und Thomas Huhn
• openwebpodcast (deutsch): Folge über OpenID-Eine Einführung
• openid.net (englisch): Seite der offiziellen OpenID-Foundation.

Ich hoffe, hiermit konnte ich Euch eine kleine Übersicht über OpenID-Provider und OpenID-Clients geben. Natürlich sind die beiden Listen längst nicht vollständig, sollten aber ausreichen, OpenID einmal auszuprobieren.
Selbstverständlich seid ihr alle herzlich eingeladen, die Liste innerhalb der Kommentare zu erweitern. Je mehr wir sammeln, desto besser….

Beim nächten Mal werde ich ein Fazit und einen Ausblick in die Zukunft von OpenID geben.