Nach Yahoo, MySpace, AOL und vielen anderen springt nun auch Microsoft auf den OpenID-Zug auf. Der offene Standard zur Authentifizierung bei Webdiensten gewinnt immer mehr an Bedeutung.

Ein Raunen geht durch die OpenID-Gemeinde: Nach Yahoo,  MySpace, AOL und einer Heerschar an kleineren Webdiensten hat nun auch Microsoft angekündigt, OpenID zu unterstützen.

Windows Live IDs können bald mit einem OpenID-Alias verknüpft werden, mit dem man sich auf allen Seiten anmelden kann, die OpenID als Consumer unterstützen. Die Zahl an OpenID-fähigen User-Accounts liegt damit jenseits der halben Milliarde, auch wenn die meisten User von ihrem Glück noch gar nichts wissen.

Die nächsten Wochen und Monate wird das in einer (schon funktionierenden) Technology Preview noch evaluiert und verfeinert, den offiziellen Start als OpenID-Provider hat Microsoft für 2009 angekündigt.

Alle technischen Details dazu kann man im Live Services Blog nachlesen, ein Video gibt es im notizBlog.

Für die Entwicklung von OpenID ist das ein grosser Schritt und eine wichtige Legitimation. Webdienste bekommen signalisiert, dass es zukunftssicher ist, OpenID als Login-Mechanismus anzubieten. Von den Grossen bleiben eigentlich nur noch Google und Facebook, die ihre Benutzer-Accounts noch nicht OpenID-fähig gemacht haben. Aber auch das ist nur eine Frage der Zeit.

Microsoft sendet auch das erfreuliche Signal, nicht nur ein eigenes Süppchen zu kochen und die eigenen Technologien durchsetzen zu wollen, sondern auch nett mit anderen zusammenzuspielen und offene Standards zu unterstützen. OpenID ist ein solcher offener und dezentraler Standard.

Bei aller Sympathie für OpenID und die dahinterstehenden Prinzipien kommt mir ein Aspekt in der Berichterstattung immer etwas zu kurz: Die Abhängigkeiten, in die man sich als User begibt, wenn man nicht genau weiss, was man tut.

Kurz beschrieben funktioniert OpenID folgendermassen:

• Es gibt OpenID Provider. Dort erhält man als Benutzer eine URL, die die eigene Identität repräsentiert – die eigene OpenID.
• Und es gibt OpenID Consumer. Das sind die Webdienste, bei denen man sich mit einer OpenID anmelden kann.
• Meldet man sich als User bei einem OpenID Consumer an, dann fragt der nicht nach Usernamen und Passwort, sondern er leitet die Frage an den OpenID Provider weiter. Der fragt dann den User nach dem dortigen Usernamen und Passwort und sagt dann dem OpenID Consumer, dass alles mit rechten Dingen zugeht.
• Der grosse Vorteil für den User ist, dass man sich nur mehr einen Usernamen und ein Passwort merken muss, den vom OpenID Provider, und sich damit bei allen Diensten anmelden kann, die OpenID Consumer sind.

Es ist nicht verwunderlich, dass viele Webdienste OpenID als Provider unterstützen. Wenn Benutzer ihren Dienst als OpenID Provider verwenden, dann koppeln sie ihre digitale Identität daran. Jede Anmeldung bei jedem Dienst via OpenID geht fortan über sie. Je mehr Dienste ein Benutzer verwendet, desto grösser wird die Abhängigkeit, desto spannender werden die sammelbaren Daten.

Es ist insofern auch nicht verwunderlich, dass keiner der grossen OpenID Provider selbst OpenID als Consumer unterstützt. Man sammelt verständlicherweise lieber selbst die Profildaten, als das einem Konkurrenten zu überlassen.

Die Jubelmeldungen, wie verbreitet OpenID mittlerweile ist, und die implizite Aufforderung, am besten sofort auf OpenID umzusatteln, sind jedenfalls mit etwas Vorsicht zu geniessen. Es wird dabei selten zwischen Providern und Consumern unterschieden, aber das macht einen grossen Unterschied.

Die Frage, ob es besonders schlau ist, alle Online-Aktivitäten an einen einzigen Anbieter zu binden, nur um sich ein bisschen bequemer anmelden zu können, sei zumindest in den Raum gestellt. Sollte dieser Anbieter – aus welchen Gründen auch immer – nicht verfügbar sein, dann ist man mit einem Schlag von allen Webdiensten ausgeschlossen.

Das erwähnt, glaube ich trotzdem, dass OpenID die Zukunft gehört. Es ist sicherer und praktischer als die existierenden Anmeldemechanismen. Den von mir angesprochenen Hauptkritikpunkt können versierte User auch leicht mit einem Verfahren namens Delegation umgehen. Auch andere Mechanismen der Entkoppelung von der Anhängigkeit vom Provider werden sich durchsetzen. Aber bis OpenID massentauglich ist und uneingeschränkt empfohlen werden kann, müssen wohl noch ein paar Monde vergehen.