E-Mail-Adressen sind als 'dauerhafte' Kennungen für Konten ungeeignet

 (utcc.utoronto.ca)
4 Punkte von GN⁺ 2024-01-01 | 1 Kommentare | Auf WhatsApp teilen

E-Mail-Adressen sind als 'dauerhafte' Kennungen für Konten ungeeignet

  • Die Verwendung von E-Mail-Adressen als dauerhafte interne Kennung für Konten ist problematisch. Die E-Mail-Adresse von Personen kann sich selbst innerhalb einer Organisation ändern, aus verschiedenen Gründen ähnlich wie sich Namen oder Anmeldedaten ändern können.
  • Dass Organisationen die einer Person zugewiesene E-Mail-Adresse nicht ändern oder neu vergeben, ist rechtlich möglicherweise nicht dauerhaft tragfähig.
  • E-Mail-Adressen können wiederverwendet oder einer anderen Person neu zugewiesen werden, was Sicherheitsprobleme verursachen kann.

Interne Kennungen sollten bedeutungslos sein

  • Auch wenn man sich zur Kontowiederherstellung eine E-Mail-Adresse merken muss, sollte die interne Kontokennung bedeutungslos sein. Das vereinfacht langfristig die Systemverwaltung.
  • In Authentifizierungssystemen wie OIDC sollte man statt der E-Mail-Adresse eine eindeutige und dauerhafte interne ID verwenden.
  • E-Mail-Adressen mit zu viel Bedeutung aufzuladen, kann zu Sicherheitsproblemen führen.

Meinung von GN⁺

  • Der wichtigste Punkt dieses Artikels ist, dass die Verwendung von E-Mail-Adressen als dauerhafte Kontokennung verschiedene Probleme verursachen kann.
  • Das Thema ist interessant, weil viele Systeme E-Mail-Adressen für die Benutzerauthentifizierung verwenden, dieser Artikel aber darauf hinweist, dass diese Praxis potenzielle Sicherheitsrisiken und Probleme in der Verwaltung mit sich bringen kann.
  • Der Artikel kann Softwareingenieuren dabei helfen, das Bewusstsein für wichtige Sicherheits- und Verwaltungsaspekte zu schärfen, die beim Entwurf interner Systeme berücksichtigt werden sollten.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-01-01
Hacker-News-Kommentar

  • Die Grenzen von E-Mail und Benutzernamen

    • E-Mail-Adressen können sich ändern, und Menschen können den Zugriff auf ihre bisherige E-Mail verlieren.
    • Es gibt Unzufriedenheit mit Benutzernamen, und Menschen möchten Namen wählen, die nicht einzigartig sein müssen. Zum Beispiel statt Namen wie user53267.
    • Auch Geräte können verloren gehen, und nur ein im Cookie gespeichertes geheimes UUID oder nur ein Passkey auf dem Gerät reicht nicht aus.
    • Manche Menschen haben stabile E-Mail-Adressen oder Benutzernamen, aber kaum jemand nutzt über viele Jahre hinweg dasselbe Hauptgerät.
    • Probleme treten häufig bei geschäftlichen E-Mail-Konten (first.last@company.com) und bei Vendor-Software auf, die „Mit Google anmelden“ verwendet.
    • Menschen heiraten, lassen sich scheiden, ändern ihr Geschlecht oder wechseln in einen anderen kulturellen Kontext und wählen neue Namen. Namen und E-Mail-Adressen ändern sich.
    • Dinge wie OIDC könnten eine Standard-API benötigen, mit der sich Benutzername und E-Mail-Adresse ändern lassen.

  • Persönliche Gegenmaßnahmen

    • Gmail kann durch AI-Algorithmen willkürlich gesperrt werden, und wenn Probleme auftreten, ist es schwer, Hilfe zu bekommen.
    • Yahoo kann eine Verifizierung über eine alte E-Mail verlangen, wodurch man den Zugang verlieren kann.
    • Yahoo/AOL/Tutanota/Protonmail usw. können Konten automatisch löschen, wenn man sich nicht regelmäßig anmeldet.
    • Self-Hosting benötigt anfangs eine E-Mail-Adresse, und wenn man diese verliert, verliert man den Zugriff auf das Hosting-Konto.
    • Duo Push kann zum Problem werden, wenn das Telefon kaputtgeht.
    • SMS-Verifizierung kann riskant sein, etwa bei einem defekten Telefon, verlorenem Zugang zum Tarif oder Sicherheitsproblemen bei Mitarbeitenden.
    • Die Nutzung einer universitären Gmail-Adresse scheint derzeit die beste Methode zu sein. Wenn Probleme auftreten, kann man das Support-Center der Universität um Hilfe bitten.

  • Probleme mit E-Mail und Telefonnummern

    • E-Mail eignet sich nicht als dauerhafter Identifikator, und Telefonnummern als Teil der Identifikation zu verwenden, ist noch schlechter.
    • Über die eigene Domain wurde fast 20 Jahre lang dieselbe E-Mail-Adresse genutzt, aber im selben Zeitraum wurden fast 12 Telefonnummern durchlaufen.
    • Um auch im Ausland eine US-Nummer zu behalten, werden an AT&T monatlich etwa 150 $ gezahlt.

  • Vorschlag für Public-Key-E-Mail-Adressen

    • Es wird die Idee vorgeschlagen, Public-Key-E-Mail-Adressen zu unterstützen (<pk-12345@gmail.com>).
    • Selbst wenn Google oder Hotmail den Dienst einstellen, könnte man sich bei einem anderen Dienst mit dem privaten Schlüssel authentifizieren und weiter auf dasselbe Konto zugreifen.
    • E-Mail-Clients könnten solche Adressen zuordnen oder sie anhand des Public Keys nachverfolgen.
    • Diese Idee würde breite Unterstützung im großen Maßstab benötigen, ist aber überlegenswert.

  • Verwendung von UUIDs

    • Es wird die Meinung geäußert, dass ein zufälliges UUID am besten ist.
    • Die initiale E-Mail des Nutzers zu hashen reicht möglicherweise nicht aus, selbst mit Salting.

  • Verknüpfung mehrerer E-Mail-Adressen

    • Das E-Mail-System wird so geändert, dass mehrere E-Mail-Adressen mit einem Konto verknüpft werden können.
    • Um Studentenrabatte anzubieten, ist es am einfachsten, eine Bildungs-E-Mail zu verifizieren, aber die meisten Menschen möchten sich nicht mit dieser E-Mail registrieren.
    • Wenn mehrere E-Mails erlaubt sind, kann man die Vorteile beider Welten kombinieren.

  • Probleme bei der Verknüpfung von E-Mail-Adresse und physischer Adresse

    • Als Beispiel wird ein Energieversorger genannt, der nicht zulässt, dass eine E-Mail-Adresse für mehrere physische Adressen verwendet wird.
    • Dadurch entstehen Probleme, weil beim Einrichten von Online-Konten nicht dieselbe E-Mail-Adresse verwendet werden kann.

  • Clientseitige Lösung

    • Durch das Bezahlen einer Domain kann man E-Mail-Aliasse zu 100 % kontrollieren.
    • Selbst wenn es Probleme mit dem aktuellen Anbieter (Google) gibt, kann man E-Mails auf dem eigenen Server hosten, Konten wiederfinden und das Eigentum an den Aliasen behalten.

  • Das Problem von Identifikation und Authentifizierung

    • Es gibt das Problem, dass Identifikation und Authentifizierung vermischt diskutiert werden.
    • Das Identifikationsproblem ist faktisch gelöst durch Namen, E-Mail, Ausweisnummern usw. – also durch eindeutige Zeichenfolgen oder Zahlen, die mit Menschen verknüpft sind.
    • Das Authentifizierungsproblem besteht darin zu prüfen, wer jemand tatsächlich ist, und ist eines der größten Probleme, vor denen moderne Technologie steht.
    • Es werden Kombinationen aus Passwort, geografischem Standort, IP-Adresse, E-Mail, Telefonnummer, Security-Token und Zertifikaten verwendet, aber diese Systeme werden regelmäßig kompromittiert, und mehr Sicherheit wirkt sich negativ auf legitime Nutzer aus.

  • Backend-Probleme

    • Für Nutzer ist die E-Mail zwar die ID, aber innerhalb der Systemdaten sollte die E-Mail nicht als Primärschlüssel verwendet werden.
    • Das ist ein grundlegendes Problem des Datenbankdesigns: Statt Identifikatoren wie E-Mail zu verwenden, sollte es eine Lookup-Tabelle geben, die auf eine eindeutige ID abbildet (UUID oder automatisch inkrementierend aus einer Sequenz).
    • Der Artikel macht diese Unterscheidung nicht klar genug, sodass es so gelesen werden kann, als müssten Nutzer diese Abstraktion selbst verstehen.