Passwörter für digitale Dienste sind überflüssig, unsicher und nerven

Um Deine Wohnung vor unerwünschten Eindringlingen zu schützen ziehst Du beim Verlassen die Türe hinter Dir zu. Wenn Du ganz sicher sein möchtest drehst Du zusätzlich den Schlüssel im Schloss herum. So weit so gut. Bist Du jedoch jemals auf die Idee gekommen jedes Zimmer einzeln abzuschließen und ständig alle Schlüssel mit Dir herum zu tragen?

Genau dies tun wir alle Tag für Tag. Und zwar immer dann, wenn wir uns im Internet bewegen und die Dienste unserer Wahl benutzen, bei denen wir uns zuvor mühsam mit Benutzername und Passwort registriert haben. Bei jedem Besuch stecken wir den Schlüssel aufs Neue ins Schloss und entriegeln die Tür. Wäre es nicht praktisch, wenn wir die Zugänge zu den unterschiedlichen Dienste hinter einem zentralen Tor deponieren könnten?

Unser digitales Zuhause

Jeder von uns besitzt bereits ein zentrales digitales Zuhause. Denn es ist eines der wesentlichen Elemente des Internets. Jeder hat seine Reise ins Internet irgendwann damit begonnen, sich eine E-Mail-Adresse einzurichten. Und somit war der erste digitale private Bereich mit Zugangsbeschränkung geschaffen.

Jeder hat seine Reise ins Internet irgendwann damit begonnen, sich eine E-Mail-Adresse einzurichten.

Zugegeben, anfangs war der Sicherheitsstandard dieser Accounts nicht sonderlich hoch. Nachrichten wurden unverschlüsselt zwischen den E-Mail-Servern übertragen. Ebenso unsicher waren die Gegebenheiten beim Abholen der E-Mails mit einem E-Mail-Programm per POP3 oder IMAP bzw. beim Zugriff über den Web-Browser. Heute gibt es quasi keine Übermittlung von Nachrichten, die nicht verschlüsselt abläuft. Weder zwischen den Mail-Servern noch beim Zugriff über die Clients oder den Web-Browser. Somit kann die E-Mail als ein sicheres Kommunikationsmedium angesehen werden.

Benutzt dieses geschützte digitale Zuhause als zentralen Zugang für all Eure Dienste!

Eigentlich ist alles ganz einfach. Stellt Euch jeden digitalen Dienst als einen Raum in Eurer Wohnung vor, inklusive Tür und Schloss. Den Schlüssel könnt ihr getrost stecken lassen. Denn nur wer Zugang zur Wohnung hat, hat auch Zugang zu den Räumen. Euer digitales Zuhause bildet Euer E-Mail-Account. Habt Ihr Zugriff auf Eure E-Mails, habt Ihr Zugang zu den Räumen dahinter und somit zu den digitalen Diensten. Technisch möglich wird dies, in dem die Türen mit steckendem Schlüssel in Form von Links in E-Mail repräsentiert werden. Man muss ihn also nur noch umdrehen bzw. anklicken und schon hat man Zugang.

Beim hinterlegten Schlüssel in besagter E-Mail handelt es sich um einen Link von folgendem Format: http://dein-dienst.com/login?token=topsecret . Der Domain-Name kennzeichnet den Raum, der Parameter “token” am Ende ist dessen Schlüssel. Nur wer diesen kennt kann sich unter Deiner Identität einloggen. Da dieser Schlüssel in Deinem Postfach liegt auf das wiederum keiner außer Dir Zugriff hat ist er gut aufgehoben und ein Missbrauch durch Dritte ausgeschlossen.

Habt Ihr Zugriff auf Eure E-Mails, habt Ihr Zugang zu den digitalen Diensten.

Verlierst Du diesen Schlüssel, so kannst Du beim Dienst kurz anklopfen und Deine E-Mail-Adresse hinterlassen. Daraufhin bekommst Du einen neuen Link mit neuem Schlüssel gesendet. Voilà, der sichere Zugriff ist erneut hergestellt. Wieder ohne die lästige Eingabe von Benutzername und Passwort.

Sicherer als jedes Passwort

Zusätzlich vereinfacht wird das Handling des Verfahrens durch zwei weitere wesentliche Faktoren. Zum einen benutzen die meisten User einen lokalen E-Mail Client mit fest hinterlegtem Passwort. Dadurch wird jegliche Passworteingabe überflüssig, selbst die beim Zugriff auf die E-Mails. Zum anderen ist es so, dass wenn man sich bei den Diensten nach deren Benutzung nicht aktiv ausgeloggt hat, meist die Session über einen längeren Zeitraum erhalten bleibt. Dies bedeutet, dass ein erneuter Login generell nur sehr selten bzw. bei sicherheitskritischen Aktionen stattfinden muss.

Die sicheren Zugangsdaten in Form eines Tokens werden vom jedem benutzten Dienst selbst generiert.

Natürlich bringt dieses Login-Verfahren auch Risiken mit sich. Diese sind jedoch keinesfalls größer als bei einem herkömmlichen Username-Passwort-Verfahren. Es verhält sich sogar gegenteilig. Der User wird von der Last befreit sich ständig neue Passwörter überlegen und merken zu müssen was zwangsweise zu unsicheren und einfach zu erratenden Passwörtern wie “12345” oder “password” führt. Die sicheren Zugangsdaten in Form eines Tokens werden von jedem benutzten Dienst selbst generiert, und zwar in einer Art und Weise, dass sie nicht erraten werden können.

Passwortmanager haben ausgedient

Die E-Mail-Accounts übernehmen dann auch die Aufgabe von den inzwischen breit eingesetzten und immer beliebter werdenden Passwort-Managern. Auch dort sind die Zugangsdaten der unterschiedlichen Dienste hinterlegt und über ein zentrales Passwort zugänglich.

Diese Programme sind jedoch mit riesigen Nachteilen verbunden. Die Daten fließen dort nicht automatisch in Form einer verschlüsselt übertragenen E-Mail hinein. Nutzernamen und Passwörter müssen bei jeder Registrierung für einen Dienst neu überlegt, eingetippt und anschließend in den Passwortmanager übertragen werden. Wieder mit den bereits erwähnten Nachteilen in punkto Sicherheit. Je nach Software ist auch ein manuelles Nachschlagen der Zugangsdaten für jeden Login-Vorgang notwendig.

Vorteile für den Nutzer liegen auf der Hand

Die Kreativ-Agentur b.lateral hat den Login per E-Mail kürzlich zum ersten Mal bei einem Kundenprojekt (http://advance-online.de) implementiert. Und dies mit großem Erfolg. Es gab keinerlei Probleme beim Registrierungsprozess und somit auch keine negative Auswirkung auf die Zugriffszahlen. Die Conversion Rate, also der Anteil an Usern welche die Seite besuchen und sich auch registrieren liegt auf sehr hohem Niveau.

Die Registrierung ist einfach gehalten. Um die Hürde und somit die Abbruchrate möglichst gering zu halten werden lediglich Name und E-Mail-Adresse abgefragt. Nach dem Absenden dieser Daten wird der User darauf hingewiesen, dass er sich per Klick auf einen Link, in einer zu diesem Zeitpunkt bereits eingegangen E-Mail, einloggen kann. Mehr gibt es nicht zu tun.

Um die Hürde und somit die Abbruchrate möglichst gering zu halten werden lediglich Name und E-Mail-Adresse abgefragt.

Der User kann den Zugangs-Link zu einem späteren Zeitpunkt jederzeit erneut anfordern, indem er seine E-Mail-Adresse auf der Webseite hinterlässt. Übrigens bekommt er bei jeder erneuten Anforderung ebenfalls einen neuen Token übermittelt wodurch der alte Link mit Token ungültig wird. Es gibt also immer nur einen gültigen Schlüssel.

Nervt nicht länger Eure User

Liebe Anbieter digitaler Dienste. Hört endlich auf Eure User zu verärgern in dem Sie sich umständlich registrieren und ständig neue Passwörter generieren müssen. Hohe Absprungraten im Registrierungsprozess bzw. während dem Checkout gehören dann der Vergangenheit an. Sie werden es Euch aber nicht nur aus Gründen des einfachen Handlings danken. Passwörter die erraten werden können gehören der Vergangenheit an. Hierdurch wird Euer Dienst sehr viel sicherer werden und das Vertrauen der User letztendlich steigen.


Weitere kreative Projekte mit zentralem Kundenfokus findest Du unter b.lateral, die Agentur für Digital & Brand.