<< Themensammlung Netzwertig

Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

20.11.13Leser-Kommentare

Authentifizierung im Web: Warum ich die Passwort-vergessen-Funktion liebe

Wer viel im Web aktiv ist, hat gewöhnlich haufenweise Passwörter, die sicher verwaltet werden möchten. Das nervt. Zumal Kennwörter eigentlich ohnehin überflüssig sind.

Passwort

Seit dem Aufkommen der ersten Web-2.0-Dienste vor etwa acht Jahren habe ich nach meinen Schätzungen mindestens tausend Benutzername-Passwort-Kombinationen bei Onlineservices und Apps angelegt. Nachdem viele Dienste damit begannen, die Registrierung über existierende "Netzidentitäten" (Facebook, Twitter, Google) zu ermöglichen, verringerte sich die Zahl an wöchentlich hinzukommenden Zugangsdaten, und das Gros der irgendwann einmal ausprobierten Anwendungen spielt für meinen heutigen digitalen Alltag keine Rolle mehr. Dennoch erfordert mein privates und berufliches Interesse an Mitgliedschaften voraussetzenden Internetangeboten das permanente Jonglieren mit und gedankliche Abrufen von Passwörtern. Häufig versage ich dabei. Aus Sicherheitsgründen vermeide ich es, ein und das selbe Passwort bei mehreren kritischen Diensten zu verwenden. Der jüngste Adobe-Hack, bei dem Benutzerdaten von 38 Millionen Adobe-Nutzern kompromittiert und teilweise auch entschlüsselt wurden, ruft erneut in Erinnerung, warum anbieterspezifische Passwörter so wichtig sind: Damit sich Angreifer nicht auf einen Schlag Zugang zu einer Reihe persönlicher Accounts verschaffen können. Passwort- und Authentifizierungsmanager wie LastPass oder 1Password sorgen zwar für einen sicheren Passwortschutz, und bei Blogwerk verwenden wir die Cloud-Login-Lösung OnePass mit guten Resultaten, in meinem persönlichen Onlinealltag verzichte ich jedoch auf derartige Systeme. Die gefühlte Abhängigkeit von einem Single-Point-of-Failure missfällt mir, zudem erfolgen meine Registrierungen oder Logins bei diversen Diensten in unterschiedlichen Szenarien und mittels verschiedener Geräte, weshalb ein "Mittler" für die Verwaltung der Passwörter für mich zu einer Produktivitätsbremse werden würde.

Stattdessen hat sich bei mir über die Jahre ein anderes Verfahren entwickelt, um auf nur sporadisch genutzte Services zuzugreifen, ohne mir komplizierte Passwörter merken zu müssen: Ich betätige einfach die "Passwort vergessen"-Funktion und lasse mir die notwendigen Informationen zum Erhalt eines neuen Passworts per E-Mail zuschicken. Ich versuche also gar nicht erst, mir Kennwörter zu merken und behandle stattdessen die Passwort-per-Mail-Option als offizielle Authentifizierungsmethode.

Ich würde mir wünschen, dass Onlineservices das Potenzial dieses Verfahrens erkennen und den Prozess entsprechend optimieren. Aus "Passwort vergessen" ließe sich "Per E-Mail einloggen" machen. Anstatt dass man nach dem Erhalt der Mail und dem Klick auf den darin enthaltenen Link auf einer Seite ein neues Passwort festlegen muss, das man zwei Sekunden später wieder vergessen hat, könnte man eine temporäre Session-ID zugeteilt bekommen, die einen sofort und für eine begrenzte Zeit beim jeweiligen Service einloggt. Die Vorteile liegen auf der Hand: User müssen sich keine diverse Sicherheitsrisiken mitbringenden Passwörter merken und kein externes Tool verwenden. Gleichzeitig verlieren Phishing-Mails, die über präparierte Websites in der Optik einschlägiger Onlinedienste versuchen, Usern ihr Passwort abzuluchsen, ihre Effektivität. Webdienste auf der anderen Seite werden von der Verantwortung befreit, die mit der Speicherung von aus Benutzername und Passwort bestehenden Zugangsdaten verbunden ist. Als pädagogisch sinnvolle Bezeichnung einer derartigen Authentifizierung würde sich auch "Einmalpasswort per E-Mail" eignen - selbst wenn eine manuelle Passworteingabe im besten Fall gänzlich wegfällt.

Freilich eröffnet ein solches System Missbrauchspotenzial, sobald Fremde Zugang zu einem E-Mail-Konto erhalten. Dieses Risiko existiert aber heute aufgrund des Vorhandenseins der Passwort-Vergessen-Funktion ebenfalls.

Ob sich das beschriebene Verfahren als massentaugliche Lösung erweisen würde, mag ich an dieser Stelle nicht beurteilen. Für meine Bedürfnisse wäre sie jedoch ideal, zumal ich die existierende Funktionalität ohnehin bereits nach dem gewünschten Muster behandle. Sie ist nur nicht dafür optimiert. Ich frage mich, warum nicht?! /mw

(Foto: Password box in Internet Browser on Computer Screen, Shutterstock)

Kommentare

  • Markus Spath

    20.11.13 (11:15:29)

    hmm, naja. update: wobei, why not.

  • René Fischer

    20.11.13 (14:04:26)

    Gar keine so schlechte Idee. Würde ich auch gern so nutzen.

  • Max

    20.11.13 (14:33:52)

    Du ersetzt also das single Point of Failure System 1Password durch das single Point of Failure System Email. What could possibly go wrong? Kann man natürlich machen, klingt mir aber mehr nach der Glorifizierung eines Bugs. Ich persönlich halte 1Password nach wie vor für die bessere weil schnellere Alternative, der man zusätzlich auch noch Daten anvertrauen kann, die man nicht per Passwort-vergessen-Link zurückholen kann.

  • Bjoern Brauer

    20.11.13 (15:05:33)

    Jupp, damit hast du quasi Mozilla Persona beschrieben: http://www.mozilla.org/en-US/persona/ siehe http://lloyd.io/how-browserid-works fuer mehr details.

  • Thomas

    20.11.13 (15:36:19)

    Genutzt wird das bei mehreren Diensten als Teil einer 2-Faktor-Authentifizierung. Z.B. kenne ich das bei Steam oder Microsoft, dass man nach einem Login (mit gültigem Passwort) nochmal einen Code eingeben muss, den man per Mail erhält.

  • Martin Weigert

    20.11.13 (18:15:35)

    @ Markus Spath Genau :) @ Max Prinzipiell hast du recht. Interessant, dass ich selbst E-Mail nicht als Single-Point-of-Failure wahrnehme. Basiert wohl auf der Erfahrung aus 15 Jahren E-Mail-Nutzung, in der ich ingesamt vielleicht 30 Minuten Downtime erlebt habe. E-Mail ist schon ziemlich robust. @ Bjoern Bauer Danke. Fast. Denn ich muss ein Passwort bei Persona erstellen. @ Thomas Dort muss man dann eben beides machen. Erst Passwort, und danach noch E-Mail-Verifizierung. Ist natürlich bei Diensten mit sensiblen Daten sinnvoll.

  • Thomas

    20.11.13 (18:51:22)

    Ich verwende diese Funktion tatsächlich auch oft so. Ist ein bisschen wie mTAN beim Banking.

  • Kevin

    20.11.13 (18:54:23)

    Ich hoffe, die E-Mail werden verschlüsselt verschickt. Eine Loginmaske per https ist sicherer als unverschlüsselte Mails mit Benutzernamen und Kennwort. Hier ist ein Man-in-the-middle Angriff leichter realisierbar als bei https.

  • Johannes

    20.11.13 (21:51:34)

    Danke für den netten Denkanstoß, Martin! Ergänzung dazu: sind wir mit mTAN nicht schon einen Schritt weiter? Ich finde die Idee, meine Telefonnummer als ständigen Schlüssel zu verwenden deutlich beruhigender als Email. Sonst ist der Missbrauch nur eine offene Browser-Session weit entfernt.

  • Martin Weigert

    20.11.13 (23:30:10)

    Sicher wäre das auch eine Option - er dürfte Onlinedienste aber etwas mehr kosten als der Verstand von E-Mails.

  • Max

    21.11.13 (11:23:46)

    Ich meinte auch weniger Downtimes sondern eher das du den Zugriff auf deinen Mailaccount verlieren kannst: Google hat das Gefühl, dass du in deinem Google Plus Account mit deinem Nachnamen geflunkert hast und macht dir dafür alles dicht. Irgendein Trojaner ändert dir dein Mailpasswort unterm Arsch weg, deine Domain wird wegen einer fehlgeschlagenen Kreditkartenabbuchung gepfändet. Ich hatte mal den interessanten Fall, dass ich bei GMX eine Rechnung offen hatte. Sofort war mein GMX Mail Account gesperrt – an den selbstverständlich auch die Mahnung von GMX geschickt wurde, die ich nicht lesen konnte, weil GMX sofort mei… Mail Accounts sind aus den blödesten Umständen manchmal plötzlich einfach weg.

  • Jobi

    21.11.13 (14:08:49)

    Sehr guter Artikel zu einem interessanten Thema. Ich verwende diese Funktion auch recht häufig. Vielen Dank

Diesen Beitrag kommentieren:

Die Kommentare können nur zwischen 9 und 16 Uhr
freigeschaltet werden. Wir bitten um Verständnis.

Um Spam zu vermeiden, schreiben Sie bitte die Buchstaben aus diesem Bild in das nebenstehende Formularfeld:

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer