Passwörter sind gut zur Kontrolle des Baumhauszutritts aber nicht unbedingt für die Online-Authentifizierung

04. Apr 2018

Rene Ponudic

4 Min.

5!CH3RH3!T5LU3CK3 P455W03RT3R

„Feuchtes Brot bröselt nicht.“

Ohne dieses streng geheime Passwort kam vor rund 20 Jahren niemand in unser Baumhaus. Auch heute spielen Passwörter noch immer eine wichtige Rolle in unserem Leben – aber muss das sein?

Passwörter sind ein sensibles Thema – das haben wir teamintern bereits bei der Recherche bemerkt. Menschen neigen dazu, sich nach erfolgreicher Indoktrinierung in ein Glaubenssystem gegen Kritik zu immunisieren – das lässt sich seit Jahrtausenden bei Religionen und seit einigen Jahrzehnten bei der Wahl des bevorzugten Betriebssystems beobachten. Auch Passwörter sind mit einem Glauben verbunden – dem Glauben an Sicherheit. Doch was macht Passwörter sicher?

Einzigartigkeit

„Be like water“, lautet eines der bekanntesten Zitate von Bruce Lee. Und die meisten Menschen setzen diesen Ratschlag um – wie Wasser wählen sie den Weg des geringsten Widerstands und nutzen überall dasselbe Passwort – in den USA und Großbritannien trifft das auf 73 % der Erwachsenen zu. Um dem entgegenzuwirken, haben sich findige Softwareentwickler wie wir Passwort-Vorgaben einfallen lassen.

Das Passwort muss:

  • mindestens diese Länge haben
  • mindestens einen Großbuchstaben enthalten
  • mindestens eine Zahl enthalten
  • mindestens ein Sonderzeichen enthalten

Die Nutzer sollen sich also bitte eine einzigartige, nicht nachvollziehbare Abfolge von Zeichen einfallen lassen und sie sich für immer merken – „easy to use“ geht anders. Zwar kann diese Hürde durch Passwort-Manager deutlich gesenkt werden, allerdings werden sie – trotz unseres Blogposts – nur von 3 % der Internetnutzer verwendet.

Alternativen

Ich will Passwörter nicht verteufeln. Sie sind die gängigste, bekannteste und akzeptierteste Form der Authentifizierung und in vielen Fällen auch richtig. Es geht lediglich darum, zu sagen: Es ist okay, gängige Vorgehensweisen zu hinterfragen und über Alternativen nachzudenken.

Nehmen wir mal an, wir betreiben eine Online-Plattform, auf der sich User nach der Erstanmeldung nur selten einloggen müssen – ungefähr so oft, wie wir es von Facebook und Co. gewohnt sind. Wir haben den User dazu bewegt, ein starkes Passwort mit Sonderzeichen, Zahlen und Feenstaub zu erstellen. Dann ist die Wahrscheinlichkeit, dass er sein Passwort beim nächsten Log-in vergessen hat, sehr hoch. Daher nutzt er die liebevoll integrierte Passwort-Zurücksetz-Funktion. Er bekommt also eine E-Mail mit einem Link, der es ihm ermöglicht, die Passwortabfrage zu umgehen und sein Passwort zurückzusetzen – was die gesamte Passwort-Authentifizierung nutzlos macht.

Most Americans keep track of their online passwords by either memorizing them or writing them down

Log-in ohne Passwort

Wenn unser User bei fast jedem Log-in sein Passwort zurücksetzen muss, wozu dann überhaupt ein Passwort anlegen? Stattdessen können wir ihn doch direkt mit dem Link in der E-Mail einloggen.

Große Player wie WhatsApp oder Slack machen das bereits so und verzichten auf Passwörter. Slack nennt das einen „Magic-Link“ und macht damit klar: Es ist sicher, einfach und userfreundlich. Außerdem bringt die passwortlose Authentifizierung einige Vorteile mit sich.

Bessere User-Experience

Das Registrierungs- bzw. Log-in-Formular besteht nur noch aus dem Feld für die E-Mail-Adresse und Nutzer müssen sich weder ein neues Passwort ausdenken, noch es zum gefühlt 285. Mal zurücksetzen.

Geringe Absprungrate

Durch die einfache Anmeldung können durchaus höhere Abschlussraten erzielt werden – was besonders bei E-Commerce-Projekten wichtig sein sollte.

Sicherheit

Passwörter, die es nicht gibt, können nicht gestohlen werden. Und Yahoo, Dropbox oder LinkedIn beweisen, dass selbst große Plattformen vor derartigen Angriffen nicht geschützt sind. Natürlich besteht noch das Risiko, dass der E-Mail-Account gehackt wird, aber dank der Passwort-Zurücksetzfunktion besteht diese Sicherheitslücke sowieso – was zusätzliche Sicherheitsmaßnahmen, wie Zwei-Faktor-Authentifizierung, umso wichtiger machen.

Einfache Implementierung

Die Implementierung der passwortfreien Authentifizierung ist deutlich einfacher, schneller und daher auch günstiger als die der herkömmlichen Passwort-Authentifizierung samt Hashing, Salting und allem was dazugehört.

Fazit

Wir haben hier natürlich nur an der Oberfläche des Themas gekratzt und Dinge wie Multi-Faktor-Authentifizierung, Sicherheitsfragen, Log-in über Drittanbieter und die Verhinderung von Passwortwiederverwendungen nach dem Zurücksetzen ausgelassen. Dennoch macht die passwortlose Authentifizierung in vielen Bereichen Sinn. Wir selbst setzen sie bereits in einigen Projekten ein und haben viel positive Erfahrungen damit gemacht. Ob es auch für eure Projekte sinnvoll ist, muss natürlich individuell geklärt werden. Mein Rat: Seid offen und lasst uns darüber reden.