Kommt der passwortfreie Login?

Probleme beim Einloggen gibt es, seit sich eingeloggt wird. Beim größten Retailer und beim kleinsten Privataccount sind sie nach wie vor gängig und gültig. Höchste Zeit für eine Alternative dachten sich die Softwareentwickler von XOXCO und denken laut über alternative Methoden nach.

Bei vielen Konten ist das Problem gar ein doppeltes: zu dem (oft sinnfreien) Passwort von mindestens 8 Zeichen gesellt sich meist ein individueller User-Name, der die ganze Angelegenheit nicht wirklich übersichtlicher macht. Wie auch die XOXCO-Entwickler gehen viele User angesichts dessen dazu über, automatisch generierte Passwörter zu nutzen und darauf zu vertrauen, sehr lange, wenn nicht ewig angemeldet zu bleiben. Besser, einmal im Halbjahr ein neues Passwort per E-Mail zugesendet bekommen, als sich den ganzen Zeichenwust zu merken.

Aber auch hier gibt es Nachholbedarf: bei einem Fehler wird sehr oft nicht angezeigt, wo er gemacht wurde. Schnell potenzieren sich die Möglichkeiten aus verschiedenen Varianten von User-Name und Passwort. Im günstigen Fall endet dies mit erhöhter nervlicher Anspannung und / oder einer Hilfs-E-Mail zur Wiederherstellung oder Neubeantragung eines Passwortes, im schlechtesten Fall mit einer längeren Kontosperrung.

Eine erste sinnvolle Vereinfachung ist hier die vereinzelt bereits angebotene Merkfunktion der Seite. Davon gehe auch kein signifikant höheres Sicherheitsrisiko aus, da die allermeisten Services bereits jetzt Profilseiten und andere Verzeichnisse für User-Namen bereitstellen. Zudem gibt es viele Accounts, die eine Suggest-Funktion haben und beispielsweise auf einen Vornamen bereits im System vermerkte Nachnamen vorschlägt. Ist ein Name nicht vorhanden, sollte der User automatisch zum Erstellen eines Kontos weitergeleitet werden.

Dies ist zweifellos ein Schritt in die richtige Richtung, bleibt aber trotzdem noch das „2w44$dsqö“- Problem. Aber ist es wirklich möglich, ganz auf ein Passwort zu verzichten? Ja, und zwar mit einer Einwählfunktion nur über die E-Mail-Adresse.

Ein erstes und einziges Mal muss dafür eine gültige Adresse eingegeben werden, worauf eine Login-Mail versendet wird. Alle weiteren Male genügen wenige Klicks auf eine Mail-Adressenliste und einen Link, um sich einzuwählen. Zur weiteren Vereinfachung könnte ein Login-Link auch für mehrere Devices geltend gemacht werden. Des Weiteren wäre es gut denkbar, Web-Apps und selbst native Apps innerhalb des Links zu authentifizieren und zu launchen.

Obwohl bereits viele Unternehmen mit E-Mail-Clients arbeiten und der skizzierte Zustand ohne Browser-Resets und Cookie-Löschungen bereits Status Quo wäre, sind Passwort-Recovery-Tools in der Realität hochfrequentiert. Bei bereits existierenden Systemen wie beispielsweise dem offenen Protokoll OAuth kommt es unter anderem zu Interaktionen mit Drittanbietern – die nach Name und Passwort fragen. Auch müssten weitere Sicherheitsmaßnahmen getroffen werden. Die Login-Mails dürften nur einmal und über einen begrenzten Zeitraum benutzbar sein. Zudem stellt sich das große Thema der generellen Sicherheit von E-Mail-Accounts erneut und mit erhöhter Relevanz. Und sicherlich sollte eine Identifizierung ohne persönliches Passwort zunächst nicht auf Bereiche mit allzu sensiblen Daten angewendet werden. Aber nicht zuletzt auch vor dem Hintergrund der Meldungen über die jüngsten Hackerangriffe bei Schwergewichten wie LinkedIn oder Twitter ist die Möglichkeit eines passwortfreien Logins verlockend.