Google-Login - Softonic Deutsche

Ein Internet ohne Passwörter? In einer Welt voll Überwachung, 542 Millionen gestohlenen Passwörtern und Sicherheitslücken wie Heartbleed ist der Schutz unserer Passwörter (oder sollte ich sagen: unseres Passworts?) ein großes Problem.

Ich selbst habe zahlreiche Lösungen probiert und nutze zusätzlich zu einem Passwort-Manager lange Passwörter wie $N8UZ^CKKbo^RP9OzHCz. Nur so fühle ich mich im Internet sicher. Doch auch das beste Passwort ist nur so sicher wie der Nutzer, der die Kennwörter gutgläubig im Internet verteilt. Eine Welt ohne Passwörter ist daher viel sicherer.

Das ist eine Idee, die Tim Messerschmidt, Lead Developer Evangelist bei PayPal auf der diesjährigen MobileTech Conference propagiert hat.

Ihr Passwort ist nicht einzigartig

“Das Internet ist unsicher und böse.” Was Tim Messerschmidt nur für typischen Aberglauben im Internet hält, ist für viele Nutzer Realität. Doch warum? Es ist nicht so, dass sich alle Verbrecher dieser Welt im Internet versammeln. Es ist viel mehr so, dass wir Nutzer es den vorhandenen Verbrechern zu einfach machen. Passwörter haben laut Messerschmidt drei Probleme: “Sie werden wieder verwendet, geklaut und sind häufig sehr einfach.”

Ich hasse Passwörter. – Tim Messerschmidt

Faustregeln für sichere Kennwörter kennt eigentlich jeder: Mindestens eine Zahl und auch den einen oder anderen Großbuchstaben sollte ein Passwort beinhalten. Am besten verwendet man auch noch ein Sonderzeichen und vor allem darf ein Passwort nicht zu kurz sein. So weit die Theorie, denn trotz dieser einfachen Grundregel sieht es im Internet anders aus.

4,7 Prozent aller Passwörter sind Password

Der Internetblog Skull Security sammelt seit geraumer Zeit im Internet veröffentlichte Passswortlisten und analysiert diese auf Wiederholungen. Die Erkenntnisse dieser Untersuchungen sind ein Ärgernis für jeden Sicherheitsenthusiasten.

4,7 Prozent der Nutzer verwenden Password als Passwort.
8,5 Prozent nutzen Password oder 123456.
9,8 Prozent nutzen Password, 123456 oder 12345678.

Nun gut, mag man meinen. Das sind die typischen zehn Prozent, die sich nicht um das Thema Sicherheit scheren. Doch es sieht genau anders herum aus. 91 Prozent der Nutzer verwenden eines der beliebtesten 1000 Passwörter. Der Umkehrschluss: Nur 9 Prozent aller Passwörter sind sicher. Messerschmidts Fazit ist klar: “Ich hasse Passwörter.” Doch was ist die Alternative?

Es geht auch ohne Passwörter

Die Registrierung bei einem neuen Internetdienst ist auch in Deutschland bereits seit längerem ohne Passwort möglich – mit einer Einschränkung: Vor den zwei dominierenden Anbietern haben wir Deutsche noch mehr Angst als vor Hackern, Geschwindigkeitslimits auf der Autobahn und schlechten Wirtschaftsdaten. Die Sprache ist vom Login mit Facebook und Google+.

Der Service – auch Social-Login genannt – ist kein Versuch, Nutzerdaten zu klauen. Dieser Dienst ist eine einfache Alternative, um als kleine Anbieter einen sicheren Login zu ermöglichen. Gleichzeitig ist der Login viel bequemer für den Nutzer. Man meldet sich schnell per Mausklick auf den Knopf an, anstatt ein Formular auszufüllen und sich Nutzernamen sowie Passwörter auszudenken.

Ich habe weniger Angst vor dem Hacker, der eine Internetseite angreift, als jemandem der meinen Notizzettel mit dem Passwort im Büro findet.

Der Social-Login, den man an der typischen Formulierung “Mit Facebook anmelden” erkennt, nutzt dazu einen Internetstandard namens Oauth. Oauth überträgt nicht das Nutzerpasswort. Stattdessen autorisiert Facebook den Dienst mit einem sogenannten Token. Mit diesem digitalen Schlüssel greift man auf gewisse Daten zu, ohne dass man sich ein neues Passwort ausdenken muss. Wie genau Oauth und der Social-Login funktionieren, erklärt unser Artikel Wie funktioniert “Mit Facebook anmelden”?.

Weniger Passwörter, mehr Sicherheit

Messerschmidt sieht in dieser Art des Logins einen entscheidenden Vorteil: “Ich habe weniger Angst vor dem Hacker, der eine Internetseite angreift, als jemandem der meinen Notizzettel mit dem Passwort im Büro findet.” Bisherige Passwort-Hacks beweisen, dass viele Nutzer zu bequem sind, sich auf komplizierte Passwörter einzulassen. Deshalb stellt der Social-Login eine sinnvolle Alternative dar, um das Internet einen Deut sicherer zu machen.

Was halten Sie vom Facebook-Login? Würden Sie vielleicht einen anderen Dienst als Passwort-Ersatz bevorzugen? Wenn ja, welchen?

Über den Autor: Tim Vüllers

Apps, Smartphones, Statistik und das Internet of Things sind Themen, mit denen ich auch meine Freizeit verschwende. Bei Softonic schreibe ich hauptsächlich über Smartphone-Apps und E-Mail-Sicherheit. Meine neuste Leidenschaft: Der Datenjournalismus.

Weitere Artikel von mir

Folgen Sie mir bei Twitter @tvuellers

Vor allem in Apps, aber auch auf immer mehr Internetseiten fehlt mittlerweile die Möglichkeit, sich zu registrieren. Stattdessen findet man einen großen Button auf dem Mit Facebook anmelden steht.

Als Technologie-Journalist freue ich mich darüber. Der blaue Knopf nimmt mir die immer gleiche und mühselige Registrierung ab und beschleunigt damit auch meine Arbeit, für dich ich mich täglich bei neuen Apps und Diensten anmelden muss. Doch in Deutschland misstraut man dem sogenannten Social-Login.

Im Rahmen der MobileTech Conference in Berlin habe ich einen Vortrag von Tim Messerschmidt, Lead Developer Evangelist bei PayPal, zum Anlass genommen, mich dem Thema einmal genauer anzunehmen. “Wie funktioniert eigentlich der Facbook-Login?” ist dabei meine Leitfrage, mit der ich hoffentlich viele Vorurteile und Ängste nehmen kann.

Oauth: Login ohne Passwort

Die Technologie hinter dem Social-Login gibt es bereits seit längerem. Sie nennt sich Oauth und lässt sich nicht ganz so einfach erklären. Wir wollen es trotzdem versuchen, anhand des Unterschieds zwischen Autorisieren und Authentifizieren.

Im Internet muss ich als Nutzer beweisen, dass ich wirklich ich bin und nicht jemand, der mein Passwort kennt und sich als mich ausgibt. Diesen Weg nennt man Authentifizierung. Die Authentifizierung ist jedoch umständlich und mit einer Registrierung verbunden.

Bei bestimmten Diensten, darunter häufig Facebook und Google, aber auch Twitter oder der Bezahldienst PayPal habe ich diese Authentifizierung bereits abgeschlossen. Warum also nicht diese Information nutzen?

Grafische Erklärung von OAuth. Quelle: Wikipedia

Statt den Nutzer durch eine beschwerliche Registrierung zu schicken, bitten andere Dienste einfach Facebook oder Google+ um eine Autorisierung für mein Nutzer-Konto. Mit einem Klick auf den Facebook-Anmelden-Knopf, überprüfen Dienste wie das Flirt-Netzwerk Lovoo aber auch Nachrichtenseiten wie Spiegel Online, ob ich wirklich ich bin. Ist dies so, erstellt Facebook einen zufälligen Schlüssel, auch Token genannt, und erteilt beispielsweise Spiegel Online die Autorisierung, für mich ein Konto anzulegen.

Ich habe weniger Angst vor dem Hacker, der eine Internetseite angreift, als jemandem der meinen Notizzettel mit dem Passwort im Büro findet.

Der Sicherheits-Vorteil liegt im Token

Der große Sicherheitsvorteil liegt im Token. Durch diesen zufällig generierten Schlüssel kennen andere Dienste nur bestimmte Details über meine Identität und nicht mehr. Die anderen Dienste wissen durch die Tokens nur, dass ich ich bin, aber kennen mein Passwort nicht. Messerschmidt beschreibt diese Gefahr so: “Ich habe weniger Angst vor dem Hacker, der eine Internetseite angreift, als jemandem der meinen Notizzettel mit dem Passwort im Büro findet.”

Im konkreten Beispiel einer eventuellen Sicherheitslücke sorgen die Tokens so für deutlich mehr Schutz. Denn sollte ein Hacker irgendwie in den Besitz meines Passworts kommen, muss ich es nur bei einem Dienst ändern und hieraus ergeben sich gleich zwei weitere Vorteile: Sicherheit durch Größe und De-Autorisierung.

Statistik zur Passwort-Nutzung. Präsentiert von Tim Messerschmidt (PayPal) auf der MobileTech Conference im September 2014.

Unternehmen wie Facebook und Google gehören zu den größten Unternehmen im Web. Eine Armada von Sicherheitsexperten sorgt dafür, dass meine Anmeldedaten sicher auf deren Servern liegen. Anders sieht es bei kleinen Anbietern aus, die sich in der Regel keine Experten leisten können und bei Sicherheitslücken wie Heartbleed nur langsam reagieren können. Nehmen wir einmal folgendes an: Ich bin als Nutzer zu faul, mir für jeden Dienst ein Passwort auszudenken und zu merken. Dies ist eine bequeme Möglichkeit für mehr Sicherheit.

Ebenfalls sehr praktisch: Oauth erstellt für jeden Anbieter einen eigenen Token, die ich so an einer zentralen Stelle organisieren kann. Sollte ich also das Vertrauen in einen Dienst verlieren, kann ich diesen deautorisieren. Anbieter wie Facebook oder Google+ löschen dann die Autorisierung und mein Login beim entsprechenden Anbieter ist ungültig.

Das Problem mit dem Vertrauen

Das Problem liegt am Ende im Vertrauen. In Deutschland herrscht eine berechtigte Skepsis gegenüber Google und Facebook, was der positiven Entwicklung der Social Logins entgegen spielt. Es müssen aber nicht immer die großen sozialen Netzwerke sein.

Alternativen zu Facebook, Google und Twitter

Es gibt bereits erste deutsche Unternehmen wie das Business-Netzwerk Xing, die einen sozialen Login anbieten. Das in Deutschland börsennotierte Unternehmen genießt ein hohes Vertrauen, was auch am Standort Europa und den hiesigen Datenschutz-Gesetzen liegt. Internetseiten wie Easypep, Fastbill oder Helpify bieten den Social Login von Xing bereits an. Es bleibt zu hoffen, dass der soziale Login von Xing in Zukunft auch bei weiteren deutschen Internetseiten Anklang findet.

Der Soziale Login ist kein Hexenwerk sondern eine moderne Alternative zum unsicheren Passwort. Am Ende kommt es darauf an, dass Internetseiten den Sozialen Login von Anbietern einbauen, denen die Nutzer vertrauen.

Über den Autor: Tim Vüllers

Weitere Artikel von mir

Folgen Sie mir bei Twitter @tvuellers