Wie funktioniert “Mit Facebook anmelden”?

Wie funktioniert “Mit Facebook anmelden”?

Vor allem in Apps, aber auch auf immer mehr Internetseiten fehlt mittlerweile die Möglichkeit, sich zu registrieren. Stattdessen findet man einen großen Button auf dem Mit Facebook anmelden steht.

Als Technologie-Journalist freue ich mich darüber. Der blaue Knopf nimmt mir die immer gleiche und mühselige Registrierung ab und beschleunigt damit auch meine Arbeit, für dich ich mich täglich bei neuen Apps und Diensten anmelden muss. Doch in Deutschland misstraut man dem sogenannten Social-Login.

Im Rahmen der MobileTech Conference in Berlin habe ich einen Vortrag von Tim Messerschmidt, Lead Developer Evangelist bei PayPal, zum Anlass genommen, mich dem Thema einmal genauer anzunehmen. “Wie funktioniert eigentlich der Facbook-Login?” ist dabei meine Leitfrage, mit der ich hoffentlich viele Vorurteile und Ängste nehmen kann.

Oauth: Login ohne Passwort

Die Technologie hinter dem Social-Login gibt es bereits seit längerem. Sie nennt sich Oauth und lässt sich nicht ganz so einfach erklären. Wir wollen es trotzdem versuchen, anhand des Unterschieds zwischen Autorisieren und Authentifizieren.

Im Internet muss ich als Nutzer beweisen, dass ich wirklich ich bin und nicht jemand, der mein Passwort kennt und sich als mich ausgibt. Diesen Weg nennt man Authentifizierung. Die Authentifizierung ist jedoch umständlich und mit einer Registrierung verbunden.

Bei bestimmten Diensten, darunter häufig Facebook und Google, aber auch Twitter oder der Bezahldienst PayPal habe ich diese Authentifizierung bereits abgeschlossen. Warum also nicht diese Information nutzen?

Graphische Erläuterung von Oauth.

Grafische Erklärung von OAuth. Quelle: Wikipedia

Statt den Nutzer durch eine beschwerliche Registrierung zu schicken, bitten andere Dienste einfach Facebook oder Google+ um eine Autorisierung für mein Nutzer-Konto. Mit einem Klick auf den Facebook-Anmelden-Knopf, überprüfen Dienste wie das Flirt-Netzwerk Lovoo aber auch Nachrichtenseiten wie Spiegel Online, ob ich wirklich ich bin. Ist dies so, erstellt Facebook einen zufälligen Schlüssel, auch Token genannt, und erteilt beispielsweise Spiegel Online die Autorisierung, für mich ein Konto anzulegen.

Ich habe weniger Angst vor dem Hacker, der eine Internetseite angreift, als jemandem der meinen Notizzettel mit dem Passwort im Büro findet.

Der Sicherheits-Vorteil liegt im Token

Der große Sicherheitsvorteil liegt im Token. Durch diesen zufällig generierten Schlüssel kennen andere Dienste nur bestimmte Details über meine Identität und nicht mehr. Die anderen Dienste wissen durch die Tokens nur, dass ich ich bin, aber kennen mein Passwort nicht. Messerschmidt beschreibt diese Gefahr so: “Ich habe weniger Angst vor dem Hacker, der eine Internetseite angreift, als jemandem der meinen Notizzettel mit dem Passwort im Büro findet.”

Im konkreten Beispiel einer eventuellen Sicherheitslücke sorgen die Tokens so für deutlich mehr Schutz. Denn sollte ein Hacker irgendwie in den Besitz meines Passworts kommen, muss ich es nur bei einem Dienst ändern und hieraus ergeben sich gleich zwei weitere Vorteile: Sicherheit durch Größe und De-Autorisierung.

Statistik zur Passwort-Nutzung. Präsentiert von Tim Messerschmidt (PayPal) auf der MobileTech Conference im September 2014.

Unternehmen wie Facebook und Google gehören zu den größten Unternehmen im Web. Eine Armada von Sicherheitsexperten sorgt dafür, dass meine Anmeldedaten sicher auf deren Servern liegen. Anders sieht es bei kleinen Anbietern aus, die sich in der Regel keine Experten leisten können und bei Sicherheitslücken wie Heartbleed nur langsam reagieren können. Nehmen wir einmal folgendes an: Ich bin als Nutzer zu faul, mir für jeden Dienst ein Passwort auszudenken und zu merken. Dies ist eine bequeme Möglichkeit für mehr Sicherheit.

Ebenfalls sehr praktisch: Oauth erstellt für jeden Anbieter einen eigenen Token, die ich so an einer zentralen Stelle organisieren kann. Sollte ich also das Vertrauen in einen Dienst verlieren, kann ich diesen deautorisieren. Anbieter wie Facebook oder Google+ löschen dann die Autorisierung und mein Login beim entsprechenden Anbieter ist ungültig.

Das Problem mit dem Vertrauen

Das Problem liegt am Ende im Vertrauen. In Deutschland herrscht eine berechtigte Skepsis gegenüber Google und Facebook, was der positiven Entwicklung der Social Logins entgegen spielt. Es müssen aber nicht immer die großen sozialen Netzwerke sein.

Alternativen zu Facebook, Google und Twitter

Es gibt bereits erste deutsche Unternehmen wie das Business-Netzwerk Xing, die einen sozialen Login anbieten. Das in Deutschland börsennotierte Unternehmen genießt ein hohes Vertrauen, was auch am Standort Europa und den hiesigen Datenschutz-Gesetzen liegt. Internetseiten wie Easypep, Fastbill oder Helpify bieten den Social Login von Xing bereits an. Es bleibt zu hoffen, dass der soziale Login von Xing in Zukunft auch bei weiteren deutschen Internetseiten Anklang findet.

Der Soziale Login ist kein Hexenwerk sondern eine moderne Alternative zum unsicheren Passwort. Am Ende kommt es darauf an, dass Internetseiten den Sozialen Login von Anbietern einbauen, denen die Nutzer vertrauen.

Über den Autor: Tim Vüllers

Apps, Smartphones, Statistik und das Internet of Things sind Themen, mit denen ich auch meine Freizeit verschwende. Bei Softonic schreibe ich hauptsächlich über Smartphone-Apps und E-Mail-Sicherheit. Meine neuste Leidenschaft: Der Datenjournalismus.

Weitere Artikel von mir

Folgen Sie mir bei Twitter @tvuellers

Alle Kommentare ansehen
Kommentare laden

Neueste Artikel

Top heruntergeladene Apps