Das Muster „E-Mail ist Authentifizierung“

 (rubenerd.com)
4 Punkte von GN⁺ 2024-09-09 | 1 Kommentare | Auf WhatsApp teilen
  • Die meisten Menschen verwenden keine Werbeblocker, kein eingeschränktes JavaScript, keine Passwort-Manager usw.
  • Viele Menschen durchlaufen einen Login-Prozess wie diesen
    • Zur Login-Seite gehen
    • Auf „Passwort vergessen“ klicken
    • Zum E-Mail-Postfach wechseln
    • Auf den Wiederherstellungs-Link klicken
    • Ein temporäres Passwort eingeben, das man sich nicht merken wird
    • Wiederholen
  • Fragt man Menschen, warum sie diesen Prozess durchlaufen, kennen die meisten den Grund nicht
  • Über Passwort-Manager, das Risiko von Identitätsdiebstahl und die Notwendigkeit von Zwei-Faktor- und Multi-Faktor-Authentifizierung wurde bereits viel diskutiert
  • Es stellt sich die Frage, warum Menschen „Passwort vergessen“ als Mittel zur Authentifizierung verwenden
  • Das ist keine bewusste Entscheidung, sondern eine Gewohnheit, die sich mit der Zeit gebildet hat
  • Es wird darüber nachgedacht, ob sich diese Gewohnheit nutzen lässt, um Systeme so zu gestalten, dass Menschen sie auf bessere Weise verwenden

Zusammenfassung von GN⁺

  • Dieser Artikel behandelt die Gewohnheit, sich über den Prozess des Passwort-Zurücksetzens zu authentifizieren
  • Über die Notwendigkeit von Passwort-Managern und Zwei-Faktor-Authentifizierung wurde bereits viel diskutiert, doch hier wird die Frage aufgeworfen, warum Menschen einem bestimmten Ablauf folgen
  • Es wird untersucht, ob sich diese Gewohnheit nutzen lässt, um bessere Sicherheitssysteme zu entwerfen
  • Produkte mit ähnlichen Funktionen sind unter anderem LastPass und 1Password

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-09-09
Hacker-News-Kommentare

  • E-Mail-Konten sind die gebräuchlichste Methode für Online-Authentifizierung

    • Telefonnummern sind ebenfalls konkurrenzfähig, aber Menschen können ihr Handy verlieren
    • Die Sicherheit von Telefonnummern ist geringer als die von E-Mail-Konten
    • Beim Entwurf von Benutzer-Authentifizierungssystemen sollte die Kontowiederherstellung berücksichtigt werden

  • Wenn ein Unternehmen Einfachheit bieten will, verwendet es ein E-Mail-Authentifizierungssystem

    • Der Nutzer gibt seine E-Mail-Adresse ein
    • Ein Bestätigungscode wird per E-Mail gesendet
    • Nach Eingabe des Codes bleibt man „unbegrenzt“ eingeloggt
    • Bei einer neuen E-Mail-Adresse wird automatisch ein Konto erstellt
    • Manche Nutzer erstellen versehentlich neue Konten, weil sie mehrere E-Mail-Adressen verwenden
    • Diese Methode verbessert die Conversion bei Registrierung und Login erheblich

  • Passwortbasierte Authentifizierungssysteme sind unrealistisch

    • Passwörter werden auf zwei Arten verwendet
      • Sie werden über einen Passwortmanager mit einem einzigen Passwort geschützt
      • Dasselbe Passwort wird bei mehreren Diensten wiederverwendet
    • Die meisten Dienste bieten Wiederherstellung per E-Mail an
    • Persönliche E-Mail-Konten werden fast nie gewechselt, nicht geteilt und nicht wiederverwendet

  • Es wird vorgeschlagen, zum Login einen einmaligen URL-Link per E-Mail zu senden

    • Der Link läuft innerhalb von 10 Minuten ab und ist nur einmal verwendbar
    • Wer den Link hat, kann sich einloggen, aber er ist nur aus der E-Mail heraus zugänglich
    • Die Sicherheit hängt vom E-Mail-Konto ab

  • Der Grund, warum Service-Anbieter Nutzern Unannehmlichkeiten bereiten, ist einfach

    • Bei E-Mail-Anbietern enden Sitzungen fast nie
    • Man kann das Service-Authentifizierungs-Token auf dieselbe Dauer wie eine Gmail-Sitzung setzen oder Login per OTP erlauben

  • Die meisten Menschen probieren Computeraufgaben einfach aus und lösen sie so

    • Software wird von Menschen entwickelt, die Systeme gut verstehen, aber die Nutzer tun das nicht
    • Wenn Nutzer ein funktionierendes Muster finden, bleiben sie dabei
    • Viele Schulen verwenden Tablets, sodass kein Gefühl für die Nutzung von Computern entsteht

  • Es gibt Websites, die den Schritt „Passwort vergessen“ auslassen und E-Mail als Authentifizierung verwenden

    • E-Mail-Adresse eingeben
    • Eine E-Mail mit Code erhalten
    • Code eingeben und einloggen
    • Für Menschen mit mehreren E-Mail-Adressen kann das unpraktisch sein

  • Best Buy verwendet eine ähnliche Methode

    • Das Passwort wird mit einem Passwortmanager gespeichert, aber wegen ATO-Schutz wird angezeigt, dass das Passwort ungültig ist
    • Beim Versuch, das Problem zu lösen, ist man schließlich so genervt, dass man den einfachsten Weg nimmt

  • Der Login-Ablauf ist ähnlich

    • A) Website besuchen, Passwort über den Passwortmanager kopieren und einfügen, per E-Mail eine Anfrage für TOTP erhalten
    • B) Website besuchen, auf „Passwort vergessen“ klicken, einen Login-Link erhalten, irgendeine Zeichenfolge eingeben
    • Methode B ist manchmal schneller

  • Nutzer speichern Passwörter nicht, weil sie keinen Passwortmanager haben

    • Selbst wenn sie einen Passwortmanager kennen, ist der Kontowechsel auf gemeinsam genutzten Cloud-PCs umständlich
    • Auf Websites ohne Passwortspeicherfunktion werden Passwörter nicht gespeichert