<pathos>

openID wird gerne mit den Vorzügen einer Kreditkarte verglichen. Man holt sich wo eine, und dann kann man sie überall verwenden wo man mit Kreditkarte bezahlen kann. An und für sich ist das nützlich.

Leider ist openID aber wie eine Kreditkarte bei der man dann auch nicht mehr mit Bargeld bezahlen kann, wenn man in einem Geschäft einmal mit ihr bezahlt hat, und leider kann man den Kreditkartenbetreiber dann auch nicht mehr wechseln.

openid

(das stimmt so nicht ganz, die möglichkeit des anbieterwechsels ist bei openid sogar sehr schön mittels eines konstrukts namens delegation eingebaut; nur stimmt das de facto, weil diese möglichkeit von 95% – hausnummer, aber es ist wohl die überwiegende mehrheit – nicht wahrgenommen wird; man kann sich natürlich jederzeit eine zweite, dritte oder vierte kreditkarte bei einem anderen anbieter holen, aber gerade diese vermischung will damit ja beendet werden)

Für die Anbieter ist das sehr interessant. Sie binden alle die ihre Kreditkarte verwenden für den Rest ihres digitalen Lebens an sich und bekommen als kleinen Bonus sämtliche Aufmerksamkeitsdaten (wer kauft wo wann was ein) frei Haus. Insofern ist es nicht verwunderlich, dass Yahoo, AOL, andere greedy corporations diese Kreditkarten anbieten. Mit Kreditkarte bezahlen kann man bei den meisten Anbietern übrigens nicht.

Für Geschäfte in denen man mit Kreditkarte bezahlen kann ist das auch nicht schlecht. Was bequem für den User ist ist letztendlich auch gut fürs Geschäft und Gebühren fallen auch keine an.

Für die Kunden ist das zunächst einmal sehr praktisch. Sie müssen kein Bargeld mit sich herumschleppen und brauchen sich nur einen einzigen Code zu merken. Als Neukunde in einem Geschäft brauchen sie auch keine elendslangen Formulare mehr auszufüllen, steht alles auf der Kreditkarte drauf.

Solange es kein Problem gibt ist alles gut.

Wenn es aber ein Problem gibt sitzt man zumindest knietief in der Scheisse.

Kreditkartenbetreiber könnten (und werden) verschwinden. Die Kreditkarte ist dann natürlich wertlos – aber noch blöder: alles was man zuvor mit der Kreditkarte gekauft hat verschwindet gleich mit (bzw. ist zwar noch da, aber man kommt nicht mehr ran, bzw. man kommt zwar noch ran, aber nur wenn das Geschäft in dem man das jeweilige Ding gekauft hat zulässt, dass man es aufbricht.)

Oder man verliert das Vertrauen in den Kreditkartenbetreiber oder will ihn aus sonstigen Gründen wechseln. Pech gehabt.

Oder eine trickreiche Person kommt irgendwie an die Geheimzahl oder den Pin-Code der Kreditkarte. Diese kann dann auf Shopping-Tour in allen Geschäften in denen man damit bezahlt hat gehen, oder auch nur ungestört in allem stöbern was man damit gekauft hat. Oder sie ist wirklich bösartig, ändert kurzerhand den Code und sperrt einen aus allen Geschäften und allen Dingen die man jemals damit gekauft hat aus.

Oder oder oder oder.

Das Problem mit openID ist nicht, dass es zu Problemen kommen kann, sondern dass die Konsequenzen der Probleme unangenehmer sind als man sie sonst so antrifft. Und ich bin mir nach wie vor nicht sicher ob die Idee eines einzigen Schlüssels (Wechsel der Metapher) der vom Toaster bis zum Safe alles aufsperrt eine besonders gute ist. Bedenken bzgl. der Privacy scheinen mir da eher sekundär zu sein.

That having said… mag ich openID, das ist emerging tech und spätestens wenn Robert Scoble einmal ein Problem hat werden auch Mechanismen der Entkoppelung angedacht und sich mittelfristig auch durchsetzen (bei einigen Seiten kann man etwa jetzt schon zwischen openID und normalem Login hin- und herschalten oder die openID wechseln), aber derzeit ist noch etwas Risikomanagement und Abwägung für was man es verwendet und für was besser nicht gefragt.

Mit oben erwähnter delegation kann man übrigens den Großteil der Risiken abfangen und ist also wärmstens empfohlen (Prinzip: man verwendet eine URI über die man langfristig Kontrolle hat (etwa sein Blog) als seine openID, dort gibt man – in zwei Zeilen – an welcher Anbieter die technische Abwicklung übernimmt; der Anbieter kann jederzeit gewechselt werden, die openID bleibt immer gleich.)

Allerdings muss man das tun bevor man beginnt openID zu verwenden (deshalb sind mir die evangelisten und recruiter die openid auf teufel komm raus promoten etwas suspekt, gee sogar der spiegel greift es schon auf. es ist ein bisschen verantwortungslos im eifer der freude darüber dass auch die platzhirsche des web mitmachen ganz normale user ein bisschen zu früh und bevor sie die implikationen adäquat einschätzen können an yahoo/aol/andere greedy corporations zu binden.)

</pathos>

update: mehr dazu im agenturblog bei neunetz und bei nsr