Login ohne Passwort
Heutzutage gibt es eine Vielzahl von Möglichkeiten die Authentifizierung einer Web-App zu implementieren. Große Verbreitung hat das Login über soziale Dienste wie Facebook, Twitter und Google gefunden. Via Mausklick teilt der neue Anwender einer Web-App mit, den vorhandenen Nutzeraccount eines dieser Dienste zu nutzen. Äußerst bequem und user-friendly! Technisch basiert dieses Authentifizierungsverfahren meist auf dem offenen Standard OpenID und ist daher auch nicht zu beanstanden.
Nachteile an Login via Facebook, Twitter, Google und Co. ?
Problematisch ist jedoch für viele Web-Apps, dass sie die Hoheit ihrer Nutzerverwaltung an die sozialen Netzwerke abgeben. So haben sie oft keine Daten wie Emailadressen, Namen usw. um mit ihren Nutzern in Kontakt treten zu können. Zudem baut sich eine starke Abhängigkeit zu den Diensten von Facebook und Co. auf. Was passiert, wenn diese Dienste ihre Authentifizierung für dritte Applikationen schließen oder kostenpflichtig machen? Was machen die Dienste mit den gesammelten Login-Vorgängen und Berechtigungen? Kann man ihnen trauen? Verliert ein Dienst wie Facebook seine User, verliere ich dann meine Nutzer ebenfalls? Die Antworten auf diese Fragen zeigen die große Abhängigkeit. Kurzfristige Erleichterungen und verstärktes Nutzerwachstum werden durch langfristige Nachteile erkauft.
Der Login-Klassiker: Email + Passwort
Am weitesten verbreitet ist das gute alte Login-Verfahren über die Emailadresse und das Passwort. Das Passwort wird dabei meist durch einen (gesalzenen) sicheren Hash verschlüsselt, so dass es nach der Speicherung nicht mehr rekonstruiert werden kann. Dennoch gab und gibt es immer wieder Hacks, die es schaffen an die Passwörter der User zu kommen. Sehr erfolgreich sind beispielsweise die Phishing-Angriffe, indem der Nutzer durch gefälschte Webseiten, Emails oder gar Telefonanrufe sein Passwort preisgibt. Auch das “echte Hacking”, bei dem die Web-Apps angegriffen und ganze Datenbanken ausgelesen werden, hat nach wie vor Hochkonjunktur. Durch Rechenpower und BigData-Verfahren gelingt es den Angreifern oft, einen Großteil der erbeuteten Passwort-Hashes zu “entschlüsseln”. Der jüngste Rekordhack bei Yahoo zeigt dies mal wieder.
“Just Mail Authentication” — “Passwort vergessen” als Login-Verfahren
Bei der Implementierung von Jobpushy habe ich mir Gedanken gemacht, wie es auch anders gehen könnte. Ich wollte keine Abhängigkeit zu den sozialen Netzwerken und Plattformen wie Google. Auch die Anforderung keine Passwörter abzufragen und in der Datenbank zu speichern, war mit wichtig.
So kam mir die Funktion “Passwort vergessen” in den Sinn. Nahezu jede Website die ein Login via Passwort implementiert, bietet diese Funktion an. Klickt der Nutzer diese an, erhält er eine Email und hat die Möglichkeit sich ein neues Passwort generieren zu lassen. Ich selbst verwende diese Funktion oft bei Webseiten, die ich selten besuche und daher das Passwort nicht mehr parat habe. Gespräche mit Bekannten zeigten das gleiche Bild: Oft merkt man sich die Passwörter nicht, sondern lässt sich über “Passwort vergessen” ein Neues generieren. Warum also nicht dieses Verfahren zum Standard-Login machen?
Jobpushy hat dieses passwortlose Login-Verfahren implementiert. Ein Nutzer der sich bei uns einloggen möchte, gibt lediglich seine Emailadresse ein. Daraufhin erhält er eine Email, welche einen zeitlich eingeschränkten Login-Link enthält. Ein Klick darauf und schon ist der Nutzer eingeloggt. Einfach zu nutzen. Sicher. Keine Abhängigkeiten. Für uns und unsere User das perfekte Authentifizierungssystem.
