Sicherheitsprobleme bei OpenID

OpenID wird immer wieder wegen Sicherheitsbedenken kritisiert. In erster Linie sind dies:

  • Phishing.
    Nicht nur OpenID hat dieses Problem, Phishing ist ein weit verbreitetes Phänomen bei Banken, Kreditkartenunternehmen, Paypal, Ebay und vielen anderen Diensten und bezeichnet den Versuch dem User durch das Vorgaukeln einer “offiziellen” Seite finanzielle oder sonstige wichtige Daten zu entlocken.
    Natürlich wäre das Faken einer IdP-Seite ein besonders geartetes Problem, da hier ein Multiplikatoreffekt entsteht und der Identitätsdieb Zugang zu allen vom User zuvor dauerhaft bestätigten Diensten hätte.
    Die Phishing-Gefahr kann durch verschiedene Mechanismen komplett ausgeschaltet werden. Z.B. kann man sich ein kostenloses Zertifikat für seinen Browser besorgen und sich nach dessen Installation bei einem IdP wie certifi.ca anmelden. Danach ist es praktisch unmöglich dem User ohne Warnmeldungen vorzumachen, er wäre mit seinem IdP verbunden.
    Das gleiche gilt für die Kombination mit anderen sicheren Mechanismen sich bei seinem IdP zu authentifizieren, als da wären

    • Cardspace
    • biometrische Verfahren (Fingerabdruck, Iris-Scan, Stimmerkennung etc.)
    • Smartcards
  • “Bösartige” Provider
    Der OpenID Provider hat natürlicherweise Zugriff auf die persönlichen Daten des Users. Doch nicht nur auf die Informationen, die manuell erfasst wurden, sondern auch auf Aufzeichnungen welche Seiten wann besucht wurden. Hierdurch kann ein Profil des Benutzerverhaltens erstellt werden, welches ein durchaus klares Bild der Person ergeben kann. Der gläserne User würde somit Wirklichkeit.
    Gegenmaßnahmen bestehen darin nur Provider aus Ländern mit einer sicheren Datenschutzregelung zu wählen oder notfalls einen eigenen IdP-Service zu betreiben. Auch das Streuen verschiedener OpenIDs, welche bei verschiedenen Providern angelegt wurden, verhindert die Aggregation zu einem Userprofil zuverlässig.
  • OpenID Spamming
    Wenn es mehr OpenID-fähige Blogs gibt, steht auch folgendes Szenario zu befürchten: Spammer werden versuchen sich massenhaft OpenIds anzulegen oder sogar eigene Server unter verschiedensten Domains anlegen, um selbst eine beliebige Anzahl OpenIDs generieren zu können. Dadurch würde es ihnen möglich werden intensives Blog-Spamming mit unsinnigen Kommentaren zu betreiben mit dem Ziel eigene Links zu platzieren und dadurch Google Ranking und Besucher für ihre meist dubiosen Angebote zu erhalten.
    Bisher ist eine solche Spamwelle noch nicht zu beobachten. Sollte es erst soweit sein, werden jedoch auch hier sicherlich Schutzmechanismen ähnlich zu dem bekannten Askimet entwickelt werden, die solche Spamposts sicher unterdrücken.