OpenID und SSL-Zertifikate

Einen großen Nachteil hat OpenID als Identifizierungsmethode: das Stehlen des Accounts mittels Phishing.
Der normale Anmeldeprozess einer Website über OpenID leitet einen an den zuständigen OpenID-Provider weiter, an dem man sich authentifizieren muss. Diese Weiterleitung liegt in der Verantwortung der Website, an der man sich anmelden möchte. Es ist also problemlos möglich, die verschiedenen Anmeldeseiten der OpenID-Provider nachzubauen, um so den Usernamen und Passwort abzufangen.
Mit diesen Daten hat der Dieb Zugriff auf alle Identitäten, die in der OpenID enthalten sind.

Um dem Phishing zu entgehen, gibt es verschiedene Ansätze, die man mit OpenID kombinieren kann. Information Card/CardSpace ist zum Beispiel eine Technologie, mit der man sich anhand von Identitätskarten authentifizieren kann. Vergleichbar mit den unzähligen Mitgliedschaftskarten im EC-Format, die man so im Portemonnaie mit sich herumträgt. Auf solch einer Karte ist ein persönliches Zertifikat hinterlegt, die gesamte Karte wird von einer Zertifizierungsstelle mit einem Zertifikat versehen. Die Angabe von Usernamen und Passwort wird mit Information Cards hinfällig.

Einen ähnlichen Weg verfolgen Client-SSL-Zertifikate. Mit solch einem Zertifikat identifiziert man sich bei seinem OpenID-Provider und muss keinerlei Passwortinformationen mitteilen. Der Client sendet das Zertifikat und der Provider nach erfolgreicher Authentifizierung die Bestätigung. Und schon ist man angemeldet. Einfacher geht es eigentlich nicht mehr. Nachteil ist nur noch, dass jeder Client ein eigenes Zertifikat benötigt. Aber dieser Umstand sollte einem die eigene Sicherheit schon wert sein.