Login ohne Passwort

Ben Brown:

I think an even better solution would be to remove the password completely, allowing users to login with only an email address. Each time a user needs to login, they enter their email address and receive a login link via email.

Clevere Idee. Letztlich bewegen wir uns schon in eine ähnliche Richtung; nur dass wir auf proprietäre Identityhubs wie Facebook, Google und Twitter statt Email setzen. Die Vorteile von ersteren werden auch immer gegenüber der system- und damit funktionsfreien Email überwiegen. Browns Vorschlag sollte aber zumindest als Plan B für Webdienste in Frage kommen, die komplett auf eigene User-Passwörter verzichten.

(Via Marco.org)

About Marcel Weiß

Marcel Weiß, Jahrgang 1979, ist Gründer und Betreiber von neunetz.com.
Er ist Diplom-Kaufmann und lebt in Berlin. Marcel Weiß ist seit 2007 als Analyst zu Themen der Internetwirtschaft aktiv. Er ist ein Autor bei Exciting Commerce, schreibt Artikel für verschiedene Publikationen und ist unter anderem ein Coautor von im Springer Vieweg Verlag verlegten "Erfolgreich publizieren im Zeitalter des E-Books". Er unterrichtet als Gastdozent an der Popakademie Mannheim und hält Vorträge zu Themen der digitalen Wirtschaft. Mehr zum Autor.
Marcel Weiß auf Twitter und auf App.net folgen und auf Facebook abonnieren.
Mehr Möglichkeiten zur Vernetzung finden sich hier.

  • http://www.darktiger.org/home Maik

    Das Problem ist halt nur, dass mit den Single-Log-In Missbrauch wesentlich einfacher wird. Zur Zeit muss ich bei jeder Seite den Username UND das Passwort herausbekommen (O.K. Passwort meistens nur einmal, da es eh über alle Seiten gleich ist ;-) ). Nun reicht es aus einmal das E-Mail-, Google-, fb- oder was-auch-immer-Konto zu hacken und ich habe quasi unbegrenzten Zugriff.
    Der trade-off zw. usability und Sicherheit lässt sich damit nicht (nie?) auflösen.

  • http://www.neunetz.com/ Marcel Weiss

    Die meisten User verwenden auch so schon ein Passwort überall. Aber ja, es gibt zwei Seiten der Medaille.

  • http://www.facebook.com/dominik.belca Dominik Belca

    Wir verwenden das System seit Jahren für unterschiedliche Projekte und haben nie Probleme gehabt.

    Man muss die Nutzung allerdings überwachen und bei verdächtigen Mustern doch noch einschreiten.

    Und mal ehrlich, wer die Mailbox hat, hat die Identität.

  • Arnonym

    Sowas nennt sich Two-Factor-Authentication. Die wenigsten machen das per Email, einige kennen das noch mit den (wiederholt gehackten) Secure-Tokens der Firma RSA. Google und andere bieten das inzwischen für Mobiltelefone als App oder per SMS.

    Und ansonsten darf man sich für die Kommentare hier ja auch per disqus, g+, twitter oder facebook identifizieren…

  • http://twitter.com/moritzadler Moritz Adler

    Oder man verzichtet ganz auf den Login, zumindest für Mobile, indem man das Device aktiviert und nicht den User. Funktioniert zumindest in den Fällen, in denen eine good-enough Sicherheit ausreicht:
    https://github.com/harryf/thoughts/blob/master/mobile-killed-the-login.md
    bzw. die Diskussion darum hier:
    http://news.ycombinator.com/item?id=4240407
    :

  • http://twitter.com/fancyPT Watt dem een sin Uhl

    E-Mail-Clients sind keine sicheren Passwortspeicher.
    - Daten werden im Klartext verwaltet
    - Zugriffssicherheit und Verbindungssicherheit kann nicht gewährleistet sein und kann vom Serviceanbieter beeinträchtigt werden. Passwörter/Tokens (wenn auch kuzzeitige) könnten im Klartext durchs Netz laufen
    In der vorliegenden Idee
    - gibt es keine Authentifizierungmöglichkeit um die E-Mail-Adresse zu ändern
    - sind Operationen in 2 Kontexten nötig. Nicht in allen OS bzw. Software-Konstellationen sind Browser udn E-Mail-Client gut integriert
    - gibt es die Möglichkeit zum Spamming/Flooding von Nutzern
    - steht und fällt die Nutzung mit Verfügbarkeit des Mailservers und des Mailclients

    Ich finde daran nichts clever.