Jump to content
Sign in to follow this  
k00ni

OpenID: Jemand Erfahrungen damit ?

Recommended Posts

Hmm. Könntest du eventuelle Probleme aufzeigen oder Hinweise geben, wo man aufpassen muss? Denke dass diese Sache interessant werden könnte.

Share this post


Link to post
Share on other sites

Keine Ahung. Aber wenn du einen Yahoo bzw. AIM-Account hast, dann ja. Oder du machst dir einen neuen Account.

Share this post


Link to post
Share on other sites
Google, IBM, Microsoft, VeriSign und Yahoo haben sich als erste Unternehmen der Stiftung angeschlossen.


... das heisst nur das sie das "unterstützen", das sie das technisch auch supporten und nutzen ist damit noch lange nicht gegeben.

Share this post


Link to post
Share on other sites
und seit alle Yahoo-Accounts OpenID unterstützen, gibt es weltweit rund 350 Millionen OpenID-fähige URLs bzw. Nutzer-Accounts


Zum Teil schon :-D

Share this post


Link to post
Share on other sites

Also ich hab eine OpenID und genieße die Vorteile auf OpenID fähigen Websites. Persönlich nutze ich den Service von VeriSign.

Wer ne Liste von OpenID Websites sehen will dem kann ich nur http://openiddirectory.com/ empfehlen dort kann man sich als OpenID Website melden.


Zur Implementierung:

Die Implementierung mit der OpenID Class war kein Problem für mich.

Ich guck mal ob sie noch auf meiner Festplatte rumschwirrt.

Share this post


Link to post
Share on other sites

Singlesignon ... ansich keine schlechte Sache ...

für Firmen im eigenen LAN!


Fürs Inet find ich das weniger bis garnicht optimal.

Schonmal überlegt was passiert wenn deinen Account einer knackt?

Zumal die sicher schön nachverfolgen können wo man sich so rumtreibt (trifft zwar nur auf Seiten zu die das unterstützen/verwenden, reicht aber schon wenn man sich die Liste ansieht. ...)

Share this post


Link to post
Share on other sites
Guest

Da möchte ich mich voll und ganz anschließen. Das ist gerade so, als benutzt man ein Passwort für alles: E-Mail-Konto, Foren, Onlinebanking und und und.


Nein, danke.


Und schon gar nicht, wenn Microsoft, Google, Yahoo und Co. dann auch noch meine Daten haben.

Share this post


Link to post
Share on other sites
Da möchte ich mich voll und ganz anschließen. Das ist gerade so, als benutzt man ein Passwort für alles: E-Mail-Konto, Foren, Onlinebanking und und und.


Nur sieht die Realität jetzt schon so aus. Viele Leute haben überall die gleiche Kennung (Username, E-Mail). Nutzen das gleiche Passwort. Who cares? Man glaubt garnicht, wie sorglos die Leute im Netz herumreisen. Warum fallen auch nur so viele auf Pishingemails rein, obwohl die Banken warnen dass sie sowas nie machen? Weil man sturr ist und sich denkt, mir kann schon nichts passieren. Nicht alles sind so, aber hey, die Masse machts ja bekanntlich.


Hier setzt OpenID an. Man hat EINE Seite wo man sich "anmeldet". Hast du dich mal darüber etwas informiert? Da bekommt die Seite die die Abfrage der Daten macht nichts mit, schon garnicht das Passwort. Dies läuft über den jeweiligen Server, wo du dich "registriert" hast. Sie bekommt nur eine Kennung und fertig.


Und schon gar nicht, wenn Microsoft, Google, Yahoo und Co. dann auch noch meine Daten haben.


Komm hier bitte nicht mit solchen Phrasen. Wenn dann mit Beispielen oder Belegen. Dazu habe ich das hier gefunden.


As such, OpenID is not owned by anyone, nor should it be. Today, anyone can choose to be an OpenID user or an OpenID Provider for free without having to register or be approved by any organization.


Das schöne daran ist, dass niemand ein Datenmonopol hat. Hast du eine ICQ-Kennung? Dann liegt alles auf dem ICQ-Server. Laufen deine E-Mails über Google, dann scannen die die und plazieren anhand von Schlüsselwörtern Werbung für dich. Dies geschieht hier nicht. Wenn du nicht möchtest, dass jemand deine Daten hat, dann mach dir einen Provider und tus selbst.


Schonmal überlegt was passiert wenn deinen Account einer knackt?


Ja, ich gebe zu, dass dies ein Problem ist. Aber wie ich oben schon geschrieben habe, gibt es viele Leute, die ihre Daten überall verwenden. Ich zitiere mal kurz die deutsche Wikipedia zu den Vorteilen:


* Zeitersparnis, da nur noch eine einzige Authentifizierung notwendig ist, um auf alle Systeme zugreifen zu können

* Sicherheitsgewinn, da das Passwort nur einmal übertragen werden muss

* Sicherheitsgewinn, da beim Entfernen/Aktualisieren eines Nutzers lediglich ein Benutzerkonto betrachtet werden muss

* Sicherheitsgewinn, da sich der Nutzer anstelle einer Vielzahl meist unsicherer Passwörter nur noch eines merken muss. Somit kann dieses eine Passwort dafür komplex und sicher gewählt werden

* Phishing Attacken werden erschwert, da Benutzer UserID+Passwort nur an einer einzigen Stelle eingeben müssen und nicht mehr an zahlreichen, verstreuten Stellen. Diese eine Stelle kann leichter auf Korrektheit (URL, SSL-Serverzertifikat, etc.) überprüft werden.

* Es wird Bewusstsein geschaffen, wo man guten Gewissens UserID+Passwort eingeben kann. Benutzer eines Single Sign-On werden schwerer dazu verleitet, fremden Seiten ihr (möglicherweise gemeinsam benutztes) Passwort anzuvertrauen.



Ich denke, dass das mit der zentralen Anmeldung schlüssig klingt. Wenn man nämlich nur noch einmal seinen Kram eingeben muss und überall hin kann, dann geht man auch kritischer mit eventuellen Aufforderungen um, seine Daten irgendwo eingeben zu müssen. Der Effekt wäre ein kritischer Umgang mit der Sicherheit bezogen auf die eignen Daten und dass man eben nicht jedem vertrauen kann.


Zumal die sicher schön nachverfolgen können wo man sich so rumtreibt


Ich gebe mal mahe bei Google ein. Oder deinen Vor- und Nachnamen. Mal schauen was ich da alles an Seiten finde. Ich denke, dass dies auch jetzt schon möglich ist und somit kein direkter Nachteil ist.





Zum Thema ein Account, ein Passwort. Man kann ja auch mehrere Accounts anlegen. Einen für die wilden Dinge und einen für die seriösen. Somit umschifft man eventuelle Probleme wenigstens teilweise. Ich meine, wenn man so will, ist nüscht mehr sicher. Und ich habe in diesem Zusammenhang gelesen, dass viele Leute durch das ständige Eingeben ihrer Daten oft leichte Kombinationen aus Username und Passwort wählen, damit der Aufwand dafür gering bleibt. Hallo?! Dies wäre ein ebenso großer Angriffspunkt.

Share this post


Link to post
Share on other sites
Guest

Tolle Zitatensammlung. Mach weiter so.


Ich brauche das nicht und das ist meine Meinung.

Und Sachkunde habe ich, danke.


[edit]Deinen Nachtrag kannste dir sparen. Erste Verwarnung[/edit]

- Editiert von k00ni am 26.02.2008, 23:14 -

Share this post


Link to post
Share on other sites

[ot]

Ich brauche das nicht und das ist meine Meinung.

Und Sachkunde habe ich, danke.



Hmm. Warum hast du dich dann hierzu geäußert, wenn dir eh egal ist, was andere schreiben? Ich bitte dich entweder an der Diskussion teilzunehmen und solche Posts, wie deinen letzten zu lassen oder fern zu bleiben. Wir haben noch nicht Freitag ;-)[/ot]

Share this post


Link to post
Share on other sites

Dann such mal brav mit Google und verrate mir ein paar Geheimnisse ;-)

Das hat aber nichts damit gemeinsam was man mit so einem Singlesignon anstellen könnte (wenns in die falschen Hände gerät).


Da steht ja schon jeder kann so einen Server einrichten, welchem Anbieter kann man den nun vertrauen und welchem nicht?

Wer garantiert mir das der Anbieter den ich wähle sicher ist? Es gibt genug "Serveradmins" da draußen die meinen sie wüssten was sie tun aber noch weniger Ahnung wie ich von der Materie haben.

Und selbst den besten kann es passieren das ein Eindringversuch positiv ausgeht.


Leute die nicht nachdenken wird man mit sowas auch nicht dazu bewegen können.

Die geben so oder so ihre Daten ein wenn man sie danach fragt.

Das Problem liegt da ganz wo anders und wird von dementsprechenden Seiten natürlich ausgenutzt.

Das Argument einfache Überprüfung trift somit auf den größten Teil garnicht erst zu, weil sie es nicht wissen bzw. beachten!

Dito beim Bewusstsein.


Ich sehe sowas im Internet aus eben solchen Grünen eher als Risiko:

Man braucht nur eine Seite faken und hat ein Login für zig Seiten.

In die Adressleiste schauen solche Leute sowieso nicht ;-)


Und last but not least:

Wer sich seine Accounts mit den PWs nicht merken kann ist selber schuld!

Bei mir sinds übrigens (nur @work) um die 15 welche ich in einem Abstand von 3 Monaten ändern muss.

Mit Sicherheitsrichtlinien ala: 10 Zeichen, Groß-/Kleinschreibung, Ziffern und Sonderzeichen.

Wo ist das Problem? :ugly:

Share this post


Link to post
Share on other sites

Das Argument "Welchem Anbieter kann ich vertrauen?" zieht bei OpenID nicht, denn jeder kann sich seinen OpenID Server aufsetzen (sogar auf dem HeimPC mit DynDNS) und wo könnte ein Passwort sicherer sein als Daheim? Außerdem ist es nicht möglich mit den Daten von OpenID Websites sich auf dem OpenID Server des Users zu identifizieren.


Legende:

OpenID Server = Provider für die Authentifizierung

OpenID Website = Website mit OpenID Unterstützung

Share this post


Link to post
Share on other sites

Gerade Leute die besonders sorgsam (Achtung, Ironie ;-)) mit ihren Daten umgehen werden sich daheim einen OpenID Server aufsetzen ...


Wo könnte das Passwort sicherer sein als daheim?

Schonmal überlegt wieviele Spamschleudern täglich im Netz hängen? (keine Server, HeimPCs!)

Die meinen auch alle ihr PC wäre sicher ;-)


Du setzt voraus dass der User Ahnung hat, leider ist das in den meisten Fällen nicht so.

Und da liegt genau das Problem, wieviel Ebay-Accounts wurden z.B. schon durch gefakte Ebay-Seiten gestohlen? Wobei sowas anhand der URL in der Adressleiste einfach zu erkennen ist.

Fast jeder wird sich daheim sicher nicht extra wegen sowas einen OpenID Server aufsetzen.

Das ganze System hat wie jedes Andere einen großen Haken: den User selbst

Wobei hier der Schaden wesentlich größer ist sollte etwas passieren, es ist zwar nur ein Account betroffen (pro Benutzer) aber der gilt dafür für mehrere Dienste bzw. Webseiten.


Man braucht auch nicht die Daten von einer Webseite die OpenID unterstützt, es reicht wenn man einen OpenID Server knackt, auf dem liegen die Daten.


Nach der Anmeldung per OpenID wird man wieder auf die Webseite zurückgeschickt.

Irgendwoher muss der OpenID Server ja wissen von welcher Seite der User gekommen ist.

Es wird also zumindest die Adresse der besuchten Webseite mitgeschickt, der User authentifiziert sich am OpenID Server und somit hat man schon alles was man zum Festhalten der Surfgewohnheit braucht.

Share this post


Link to post
Share on other sites

Liebe Leute, bitte bleibt sachlich und respektiert die Meinung des anderen.


Ansonsten nimmt das Thema leider ein schnelles Ende!

Share this post


Link to post
Share on other sites

SSO macht für mich hauptsächlich in einem geschützen Unternehmensumfeld/Netz Sinn. Da gehört SSO zu einem umfassenden Sicherheitskonzept. Angriffe auf die Userdaten sind so schwieriger. V. a. im Zusammenhang mit serviceorientierter Architektur kann SSO sein Potential ausspielen.


Im Internet fehlen mir kompetente Sicherheitspartner, als dass ich ihnen all meine Userdaten anvertraue und mit einem einzigen Passwort schütze. Da kann ich besser mit dem Risiko leben, dass ich ich einigen Foren die gleichen oder ähnlichen Zugangsdaten gewählt habe. Und besonders sensitive Daten (e-Banking) haben sowieso komplexe Passwörter.

Share this post


Link to post
Share on other sites
Guest



Ich brauche das nicht und das ist meine Meinung.

Und Sachkunde habe ich, danke.


Verwarnungen? Der Herr k0ni ist hier der Boss, oder wie?

Und freie Meinungsäußerungen sind nicht erwünscht?


Na denn.

Share this post


Link to post
Share on other sites
Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...