Thema: Authentifizierung/Anmeldung bei Websites, Apps und Diensten

Mich würde mal interessieren (aus Nutzer und Entwickler-Sicht), welche Meinungen und Ansichten sich hier zu diesem Thema (siehe Titel) finden. Also nutzt ihr z.B. wenn möglich E-Mail und Password, eher Login mit Google/GitHub/Facebook/Apple/… oder was ganz anderes? Seid ihr eher Freunde von Einmal-Login-Codes per E-Mail oder fester Passwort-basierter Authentifizierung? 2FA ja oder nein? Und zu guter Letzt: Was denkt ihr ist die beste Login-Möglichkeit, welche überall verfügbar sein sollte?

Ich freue mich auf eure Antworten! (gerne auch mit Begründung)

So Logins über Dienste wie Apple/Google/Facebook können ganz nützlich sein, mich persönlich stört es aber enorm dass ich damit vollständig an den Dienst gebunden bin. Ich also nicht einfach mein Konto auf eine andere E-Mail oder einen anderen Account umziehen kann weil es leider an diesen einen einzigen Account beim Dienst gebunden ist.

Hatten da mal einen Fall mit Spotify bspw. bei dem der Account neu erstellt werden musste weil (obwohl es technisch möglich gewesen wäre) Spotify sich weigerte eine neue Konto-Verknüpfung anzulegen.

Für mich ist aktuell die liebste Anmelde-Methode:
Catch-All E-Mail mit nicht zeichenbegrenztem Passwort + 2FA (Auswahl für die Nutzung von Handynummer, Token-App oder oder)

Was ich mir nur noch wünsche ist eine gute Sicherungsmethode für Back-Up Codes bei 2FA :sweat_smile:

1 Like

Vielen Dank für deine ausführliche Antwort!

Ich persönlich speichere meine Backup-Codes in einem zweiten Passwort-Manager, dann sind sie klar von den Passwörtern getrennt.

Zum Thema E-Mail: Ich finde eine Login-Möglichkeit ohne Passwort und nur mit einem Bestätigungscode oder Bestätigungslink über E-Mail praktischer und sicherer, da der Angreifer bei Zugriff auf den E-Mail Account ja sowieso das Passwort zurücksetzen kann und durch das Passwort dann nur ein zusätzlicher Angriffsvektor entsteht. (Und man muss sogar zusätzlich noch iwie das Password managen). Oder überseh ich da was?

Also ich präferiere es mich mit E-Mail anzumelden. Ich kann es ebenso nicht leiden an einem dienst gebunden zu sein. Dennoch nutze ich diese Möglichkeit selten.
Für Passwort nehme ich lieber ein festes Passwort. Ich kenne das mit dem einmal Passwort nur von einem Dienst. Keine Frage, das ist ne Klasse Idee und bestimmt auch sicherer und auch für Experten die ihr Passwort nie merken können ne tolle Variante (wie auch über dritten Dienst anmelden)

2FA habe ich jz nur bei zwei Plattformen aktiviert. Ist halt doof, wenn man die App deinstalliert oder so, da muss man dann selber zusehen wie man alles wieder geraderückt.

Die beste Login Methode ist meiner Meinung nach ganz old school EMail und Passwort und sollte auch überall verfügbar sein.
Der Rest ist dann optional oder ein nice (safe) to have :smiley:

1 Like

Moin. Ist eine sehr interessante Frage!

Ich finde das Konzept Passwort generell absolut untragbar, besonders in der heutigen Zeit. Hintergrund ist, dass bei der Verwendung von Passwörter nichts einfach ist. Sie richtig zu verwenden erfordert Zufalls-Passwörter, was so gut wie niemand macht, dann muss man sich auf einen Passwort-Manager verlassen, und am Ende muss das Passwort dann auch noch korrekt auf der Seite des Anbieters gespeichert werden, damit es nicht zum Sicherheits-Risiko wird. Für Nerds kann man Passwörter machen, aber als Normalanwender ist es sicherheitstechnisch finde ich wirklich ein Alptraum.

Andererseits ist man bei der Authentifizierung mit Facebook, Google oder Apple dann eben abhängig von diesem Dienst, was ja auch nicht wirklich gut ist. Davon bin ich also auch nicht unbedingt so ein großer Fan. Zumal man da dann das Problem hat, dass die Identität eindeutig mit z.B. Facebook verknüpft wird, daher lobe ich mir hier Sign in with Apple und die zufällig generierten E-Mail-Adressen. Bei Services, die mir nicht so wichtig sind, verwende ich daher auch gerne diese Login-Möglichkeit.

Ein Login per E-Mail, wie es ja z.B. Medium macht, ist auch eine ganz gute Alternative für uns computer-affine Leute, die sich nicht bei jedem Login dann irgendwie bei web.de anmelden müssen, nur um sich bei Chefkoch anmelden zu können. Zudem ist es halt nicht wirklich sicher, weil E-Mails an sich unsicher sind und man eben Zugriff auf alles bekommt, wenn man den E-Mail-Account knackt. Und ja, das ist aktuell De-Facto auch schon so, daher finde ich es generell schon eine mögliche Alternative zu Passwörtern, aber ist eben auch nicht perfekt.

Mein Vorschlag wäre, dass man Logins mit einem Hardware-Faktor zum Standard macht. In Estland zum Beispiel kann man seinen Personalausweis in den Kartenleser stecken und sich dann auf jeder Seite, die das unterstützt, per Public-Private-Key-Encryption anmelden. Das hat zwar auch seine Haken (besonders dann, wenn es eben nicht Standard ist und dementsprechend die Laptops auch keinen Kartenleser integriert haben), ist aber finde ich aus Nutzer-Sicht sehr einfach und vermutlich so sicher wie es nur technisch möglich ist. Zumal hat man da auch nicht das Problem, dass es im Falle eines Diebstahles nicht ersetzt werden kann (anders als z.B. ein Fingerabdruck, der, wenn einmal geleaked, nicht geändert werden kann). Bonus: Der zweite Faktor ist direkt integriert (PIN-Code zum Entschlüsseln des Keys), und das Invalidieren des Zertifikates sollte auch aus der Ferne möglich sein, wenn z.B. die Karte gestohlen wurde.

In der Zwischenzeit verwende ich meistens allerdings auch wie @voidedmain eine Catch-All E-Mail-Adresse mit Zufallspasswort im selbst gehosteten Passwort-Manager und, wenn möglich, 2FA.

Thank you for listening to my Ted-Talk.

1 Like