Wer viel im Web aktiv ist, hat gewöhnlich haufenweise Passwörter, die sicher verwaltet werden möchten. Das nervt. Zumal Kennwörter eigentlich ohnehin überflüssig sind.
Seit dem Aufkommen der ersten Web-2.0-Dienste vor etwa acht Jahren habe ich nach meinen Schätzungen mindestens tausend Benutzername-Passwort-Kombinationen bei Onlineservices und Apps angelegt.
Nachdem viele Dienste damit begannen, die Registrierung über existierende "Netzidentitäten" (Facebook, Twitter, Google) zu ermöglichen, verringerte sich die Zahl an wöchentlich hinzukommenden Zugangsdaten, und das Gros der irgendwann einmal ausprobierten Anwendungen spielt für meinen heutigen digitalen Alltag keine Rolle mehr.
Dennoch erfordert mein privates und berufliches Interesse an Mitgliedschaften voraussetzenden Internetangeboten das permanente Jonglieren mit und gedankliche Abrufen von Passwörtern. Häufig versage ich dabei. Aus Sicherheitsgründen vermeide ich es, ein und das selbe Passwort bei mehreren kritischen Diensten zu verwenden.
Der jüngste Adobe-Hack, bei dem Benutzerdaten von 38 Millionen Adobe-Nutzern kompromittiert und teilweise auch entschlüsselt wurden, ruft erneut in Erinnerung, warum anbieterspezifische Passwörter so wichtig sind: Damit sich Angreifer nicht auf einen Schlag Zugang zu einer Reihe persönlicher Accounts verschaffen können.
Passwort- und Authentifizierungsmanager wie LastPass oder 1Password sorgen zwar für einen sicheren Passwortschutz, in meinem persönlichen Onlinealltag verzichte ich jedoch auf derartige Systeme.
Die gefühlte Abhängigkeit von einem Single-Point-of-Failure missfällt mir, zudem erfolgen meine Registrierungen oder Logins bei diversen Diensten in unterschiedlichen Szenarien und mittels verschiedener Geräte, weshalb ein "Mittler" für die Verwaltung der Passwörter für mich zu einer Produktivitätsbremse werden würde.
Stattdessen hat sich bei mir über die Jahre ein anderes Verfahren entwickelt, um auf nur sporadisch genutzte Services zuzugreifen, ohne mir komplizierte Passwörter merken zu müssen:
Ich betätige einfach die "Passwort vergessen"-Funktion und lasse mir die notwendigen Informationen zum Erhalt eines neuen Passworts per E-Mail zuschicken. Ich versuche also gar nicht erst, mir Kennwörter zu merken und behandle stattdessen die Passwort-per-Mail-Option als offizielle Authentifizierungsmethode.
Ich würde mir wünschen, dass Onlineservices das Potenzial dieses Verfahrens erkennen und den Prozess entsprechend optimieren. Aus "Passwort vergessen" ließe sich "Per E-Mail einloggen" machen.
Anstatt dass man nach dem Erhalt der Mail und dem Klick auf den darin enthaltenen Link auf einer Seite ein neues Passwort festlegen muss, das man zwei Sekunden später wieder vergessen hat, könnte man eine temporäre Session-ID zugeteilt bekommen, die einen sofort und für eine begrenzte Zeit beim jeweiligen Service einloggt.
Die Vorteile liegen auf der Hand:
User müssen sich keine diverse Sicherheitsrisiken mitbringenden Passwörter merken und kein externes Tool verwenden. Gleichzeitig verlieren Phishing-Mails, die über präparierte Websites in der Optik einschlägiger Onlinedienste versuchen, Usern ihr Passwort abzuluchsen, ihre Effektivität.
Webdienste auf der anderen Seite werden von der Verantwortung befreit, die mit der Speicherung von aus Benutzername und Passwort bestehenden Zugangsdaten verbunden ist. Als pädagogisch sinnvolle Bezeichnung einer derartigen Authentifizierung würde sich auch "Einmalpasswort per E-Mail" eignen - selbst wenn eine manuelle Passworteingabe im besten Fall gänzlich wegfällt.
Freilich eröffnet ein solches System Missbrauchspotenzial, sobald Fremde Zugang zu einem E-Mail-Konto erhalten. Dieses Risiko existiert aber heute aufgrund des Vorhandenseins der Passwort-Vergessen-Funktion ebenfalls.
Ob sich das beschriebene Verfahren als massentaugliche Lösung erweisen würde, mag ich an dieser Stelle nicht beurteilen. Für meine Bedürfnisse wäre sie jedoch ideal, zumal ich die existierende Funktionalität ohnehin bereits nach dem gewünschten Muster behandle. Sie ist nur nicht dafür optimiert. Ich frage mich, warum nicht?! /mw