Registrierung & Authentifizierung ohne E-Mail und Passwort

Die Sicherheits- und Usability-Probleme von Passwörtern sind weithin bekannt. Passwörter sind etwas, das man weiß, und sind daher anfällig für Vergessen – ein Problem, das häufig auftritt. Daher wird E-Mail häufig als Backup zur Zurücksetzung von Passwörtern verwendet.

E-Mail birgt ebenfalls viele Probleme. Ähnlich wie bei Passwörtern verwenden Menschen typischerweise dieselbe E-Mail-Adresse bei zahlreichen Diensten, was ein Datenschutzrisiko darstellt, falls die E-Mail-Adresse von einem Dienst preisgegeben wird. Es wird zunehmend schwieriger, eine E-Mail-Adresse zu erhalten, ohne dem E-Mail-Server personenbezogene Daten zu übermitteln. Als Abschreckung gegen Spam (und wahrscheinlich auch, um es einfacher zu machen, Nutzer gezielt mit Werbung anzusprechen) verlangen kostenlose E-Mail-Dienste in der Regel die Angabe einer Telefonnummer, die leicht einer bestimmten Person zugeordnet werden kann. Bei kostenpflichtigen E-Mail-Diensten ist eine Telefonnummer möglicherweise nicht erforderlich, doch es ist ebenso schwierig, einen Dienst ohne Angabe personenbezogener Daten zu bezahlen, und die Abhängigkeit von einem kostenpflichtigen E-Mail-Abonnement ist anfällig für Änderungen der finanziellen Situation. Zudem ist es heutzutage schwierig, zuverlässig einen eigenen E-Mail-Server zu betreiben. Neben den Datenschutzproblemen stellt die Zentralisierung, die durch die Wiederverwendung eines E-Mail-Kontos über viele Dienste hinweg entsteht, auch ein Sicherheitsrisiko dar, da eine Kompromittierung des E-Mail-Kontos viele andere Konten gefährden würde.

Heutzutage benötigen wir weder Passwörter noch E-Mails, um sich bei einem Dienst zu registrieren oder zu authentifizieren. Discourse unterstützt bereits FIDO und TOTP, erfordert jedoch immer noch ein Passwort und eine E-Mail-Adresse für die Registrierung und Authentifizierung. Es wäre großartig, wenn Discourse Passwörter und E-Mails optional machen würde und stattdessen FIDO und TOTP priorisieren würde.

Die Ein-Faktor-Authentifizierung mit FIDO kann sehr praktisch sein, ist jedoch anfällig für Verlust oder Zerstörung des einzelnen FIDO-Tokens, ähnlich wie das Problem, sich mit einem Passwort, aber ohne E-Mail-Adresse zu registrieren. Um dies zu beheben, schlage ich vor, dass Nutzer mindestens zwei Faktoren für die Registrierung angeben müssen, wobei jede Kombination aus FIDO, TOTP und/oder Passwort möglich ist. Nutzer, die eine Authentifizierung ohne E-Mail und Passwort wünschen, könnten einfach zwei FIDO-Roaming-Authentifikatoren wie YubiKeys registrieren. Es könnte empfohlen (oder insbesondere für Administratoren sogar vorgeschrieben) werden, mehr als die Mindestanzahl von zwei Faktoren zu registrieren, um den Verlust des Zugangs zu ihren Konten zu vermeiden.

Da FIDO-Plattform-Authentifikatoren heutzutage in immer mehr Geräte integriert werden – mit Windows Hello, Apple Touch & Face ID und Android – könnte dieses E-Mail-freie Registrierungssystem auch von nicht-technischen Nutzern verwendet werden, die keine spezialisierten Roaming-Authentifikator-Hardware wie einen YubiKey besitzen. Nutzer könnten sich mit dem FIDO-Plattform-Authentifikator plus einem Passwort registrieren. Die Ein-Faktor-Authentifizierung mit dem FIDO-Plattform-Authentifikator könnte bei einem solchen Setup nahtlos funktionieren. Dies würde jedoch ein Usability-Problem bei der Authentifizierung auf neuen Geräten schaffen, da Nutzer den FIDO-Plattform-Authentifikator auf einem neuen Gerät nicht zur Verfügung haben und sich ausschließlich auf das Passwort zur Einrichtung eines neuen Geräts zu verlassen, nicht sicher wäre. Um dies zu lösen, schlage ich einen Workflow vor, der ähnlich ist wie bei der Authentifizierung neuer Clients in Matrix. Der Nutzer könnte versuchen, sich auf einem neuen Gerät mit dem FIDO-Plattform-Authentifikator dieses Geräts (ein neuer Faktor) und seinem Passwort (ein bereits registrierter Faktor) anzumelden. Dies würde nicht direkt eine Anmeldung ermöglichen, sondern eine Anfrage zur Genehmigung des neuen FIDO-Authentifikators im Konto erstellen. Die Benutzeroberfläche auf dem neuen Gerät würde den Nutzer dann anweisen, sich auf einem bereits registrierten Gerät anzumelden, um das neue Gerät freizugeben. Da FIDO-Plattform-Authentifikatoren in Mobilgeräte integriert sind, könnte dies praktisch für eine sichere Authentifizierung ohne spezialisierte Roaming-Authentifikator-Hardware nutzbar sein, ohne die Möglichkeit aufzugeben, jedes beliebige Ad-hoc-Gerät wie einen öffentlichen Kiosk zu verwenden.

Ich habe dieses System zur anonymen Registrierung und Authentifizierung gestern nach Erhalt meiner YubiKeys entwickelt. Mir ist kein System bekannt, das dies implementiert. Ich würde es sehr begrüßen, wenn eine ausgereifte und bereits weit verbreitete Webanwendung wie Discourse eine Zukunft vorantreiben würde, in der keine E-Mail oder andere personenbezogene Daten erforderlich sind, um das Internet zu nutzen.

Das ist wahrscheinlich richtig. Aber es ist schwer vorstellbar, dass jemand, der sich mit dem von dir vorgeschlagenen System anmeldet, nicht weiß, was ein Passwort-Manager ist. Ich verwende seit etwa einem Jahrzehnt einen Passwort-Manager, besitze mehrere FIDO-Schlüssel, nutze Google Authenticator und verstehe nicht ganz, was du vorschlägst.

Es erscheint unwahrscheinlich, dass ein solches System hinzugefügt wird, es sei denn, mindestens einige Unternehmenskunden wünschen es. Ich schätze, es erfordert mindestens 50 Arbeitsstunden für jemanden, der sich gut mit dem Authentifizierungssystem auskennt, und wahrscheinlich das Doppelte bei entsprechenden Spezifikationen. Vor einiger Zeit gab es einen Versuch, eine Integration mit Keybase vorzunehmen, das einiges von dem, was du möchtest, umsetzen könnte, aber ich glaube nicht, dass dies weit gekommen ist.

Es ist dennoch eine interessante Idee. Vielleicht ist es einfacher, als ich denke.

Jeder mit einem aktuellen Gerät, das einen integrierten FIDO-Plattform-Authentifizierer besitzt, könnte dies recht einfach nutzen. In ein paar Jahren könnte das fast jeder sein.

Das habe ich bereits im Titel gesagt: Machen Sie die E-Mail optional. Dass Passwörter optional wären, wäre ebenfalls großartig.

Ich bin mir sicher, dass die Umsetzung eine beträchtliche Menge an Arbeit erfordern würde. Ich denke, der schwierigste Teil wäre, das UX-Design wirklich klar zu gestalten. Discourse hat bereits die Bausteine mit 2FA, das FIDO und TOTP unterstützt, vorhanden.

Ein kleiner erster Schritt zur Umsetzung könnte darin bestehen, die Benutzeroberfläche für die Registrierung von FIDO und TOTP direkt in die Registrierungs-Oberfläche zu integrieren, sodass kein zusätzlicher Schritt in den Einstellungen nach der ersten Anmeldung erforderlich ist. Später könnte das UI-Design weiter verbessert werden, um E-Mail und Passwort optional zu machen.

Ich bin neugierig auf @codinghorror’ Meinung dazu, angesichts seiner verschiedenen Blogbeiträge über Passwörter.

E-Mail sollte optional sein. Die Nutzung von E-Mail wird immer unzuverlässiger und ist aufgrund des großen Oligopols der E-Mail-Anbieter unmöglich.

Jetzt blockiert Gmail plötzlich meinen Domainnamen.

• Selbst nachdem alle E-Mail-Sicherheitsmaßnahmen (SPF, DKIM, DMARC, …) seit Jahren perfekt eingerichtet sind
  • Was meine ich mit perfekt? Alle Test- und Berichterstattungstools für E-Mail-Sicherheit zeigen “100% OK” und
  • die Domain war auch seit Jahren nicht auf Spamlisten (Spamhouse…)
• Aber man kann Gmail kontaktieren? Sicher…

Zitat Sender Contact Form - Gmail Help

Wir werden die von Ihnen bereitgestellten Informationen verwenden, um unsere Spam- und Missbrauchserkennungssysteme zu untersuchen und zu verbessern. Leider können wir während oder nach der Untersuchung keine Details zu unseren Ergebnissen mitteilen.

Die Antwort wird also wahrscheinlich lauten: “Ja, wir haben es uns angesehen, wir haben es nicht behoben, das Problem liegt auf Ihrer Seite, aber Sie werden keine Spam-Beispiele teilen und wir sagen Ihnen nicht, was das Problem ist”… Das heißt, wenn überhaupt ein Problem besteht.

Ich habe das Kontaktformular trotzdem benutzt. Es dauert zwei Wochen, bis eine E-Mail antwortet, sagte das Formular am Ende. Das macht E-Mail ziemlich unzuverlässig und zu umständlich für die Arbeit.

Das ist nicht nur meine Erfahrung.

Viele andere Leute haben über ähnliche Erfahrungen gebloggt.

Diese Machenschaften kommen zu all den technischen Schwierigkeiten des Self-Hostings eines E-Mail-Servers hinzu.

Könnten Sie E-Mail bitte optional machen?

• Bei der Anmeldung mit E-Mail-Adresse: Passwortwiederherstellung ist möglich.
• Bei der Anmeldung ohne E-Mail-Adresse: Passwortwiederherstellung ist unmöglich.
  • Wenn vom Website-Administrator erlaubt (optionale Einstellung), warnen Sie den Benutzer, aber erlauben Sie die Anmeldung ohne E-Mail-Adresse.
  • Nur Benutzername + Passwort.

Ähnliche Themen:

• Run Discourse without email?
• Make email optional
• Wahrscheinlich noch viele mehr.

Eine schnelle und einfache Lösung ist die Verwendung eines anderen Systems zur Authentifizierung mit Discourse Connect.

Meine frühere Einschätzung, wie schwierig es wäre, ein E-Mail-freies System zu erstellen, ist weit daneben. Die Verwendung einer anderen Kennung mit einem Hostnamen not-email.invalid für diese E-Mails sollte machbar sein. Ich denke, dass das Sign-In with Ethereum Plugin das tun könnte, was Sie wollen, wenn Sie bereit sind, Leute Ethereum benutzen zu lassen, aber etwas Ähnliches könnte auch funktionieren. Sie benötigen eine Möglichkeit, die Identität festzustellen.

Sie benötigen eine Möglichkeit, die Identität festzustellen.

Nur Benutzername + Passwort.

Kann also jeder (oder jeder Bot) im gesamten Internet in Ihr Forum kommen und unendlich viele Konten erstellen, indem er sich einen Benutzernamen und ein Passwort ausdenkt?

Ja.

Meiner Erfahrung nach mit verschiedenen Webanwendungen haben Spam-Bots kein großes Problem damit, Gmail- und andere E-Mail-Adressen zu erstellen. Auf meiner Website schließen wir auch keine temporären E-Mail-Adressen aus. Es gibt auch andere Forensoftware / Foren, die eine Anmeldung ohne (oder ohne gültige) E-Mail-Adresse erlauben, und das hat auch keine Probleme verursacht, die ich sehen konnte. Daher sehe ich E-Mail-Adressen nicht als große Hürde, um eine Flut von Bot- / DOS-Angriffskonten zu vermeiden.

Aber ich verstehe, woher Sie kommen könnten. Die Zulassung von Benutzern zur Anmeldung ohne E-Mail-Adresse könnte zu vielen Folgeproblemen führen. Was ist, wenn es eine riesige Flut von Bot-Angriffen und/oder DOS-Angriffen gibt, bei denen eine verrückte Anzahl von Forenkonto erstellt wird?

In diesem Fall wären Maßnahmen zur Spam-Vermeidung erforderlich. Diese wären jedoch nicht spezifisch für die Foreninstanzen, bei denen E-Mail optional ist, im Gegensatz zu denen, bei denen E-Mail obligatorisch ist.

Das liegt daran, dass Spammer heutzutage auch Zugriff auf viele erstellte oder gehackte E-Mail-Adressen haben. Sie könnten auch temporäre E-Mail-Anbieter nutzen. Oder eine Domain kaufen/stehlen und ihren eigenen E-Mail-Server nur für die Zwecke von spammy Foreneinrichtungen einrichten.

Die gleichen Fragen würden sich sowohl für Benutzer ergeben, die E-Mails verwenden als auch nicht verwenden. Der Einfachheit halber, theoretische Fragen.

• Wie kann ich alle Konten anzeigen, die seit X Tagen erstellt wurden, die weniger als X Minuten eingeloggt waren und 0 Beiträge haben? Wahrscheinlich Bot-Konten. Ich möchte all diese finden und löschen.
• Wie kann ich eine benutzerdefinierte Frage / ein Rätsel / ein Captcha / was auch immer hinzufügen, bevor eine Anmeldung akzeptiert wird?
• Könnte das Admin-Panel bitte einen einfachen Knopf haben, mit dem Administratoren neue Anmeldungen einfach genehmigen/ablehnen können, um Massenregistrierungs-Spam zu bewältigen?

Es scheint, dass Google hierfür eine interessante Lösung mit QR-Codes und Bluetooth gefunden hat:

Verwandt: Users logging with SSO, without email address

Da Passkeys mittlerweile weit verbreitet sind, bieten viele Dienste passwortlose Anmeldungen an, bei denen Sie niemals ein Passwort erstellen müssen. Ein Passwort zu haben, umgeht die Sicherheitsvorteile von Passkeys. Ebenso bedeutet die Verwendung von E-Mail als Wiederherstellungsmethode, dass die Sicherheit all Ihrer Konten von der Sicherheit Ihres E-Mail-Kontos abhängt. Die Anforderung von Passwörtern/E-Mails ist schlecht für die Sicherheit und Privatsphäre der Benutzer, ganz zu schweigen davon, wie einfach es ist, neue E-Mail-Konten zu erstellen. Aus Erfahrung kann ich sagen, dass die E-Mail-Anforderung Bots überhaupt nicht davon abhält, Ihr Forum mit Spam zu überfluten. Einer der Hauptgründe, warum Dienste historisch eine E-Mail verlangt haben, ist, dass Sie Ihr Konto wiederherstellen können, falls Sie Ihr Passwort vergessen. Mit Passkeys werden diese jedoch in Ihrem Passwortmanager gespeichert und geräteübergreifend synchronisiert. Sie können sogar mehrere Passkeys zu einem Konto hinzufügen, was das Problem des Vergessens von Passwörtern weitgehend beseitigt. Hier sind einige Beispiele für Websites, die passwortlose Anmeldungen implementieren:

https://app.uninbox.com/ Dies ist meiner Meinung nach besonders gut, da keine E-Mail erforderlich ist
https://www.kayak.com/

Bitte erklären Sie mir das, als wäre ich 80 Jahre alt.

Target bietet die Registrierung nur mit Passkey (mit der Option E-Mail/Passwort) an, und Discourse zwingt zur Verwendung von E-Mail oder E-Mail über SSO. Kayak (ich mag diesen Domainnamen übrigens wirklich nicht ) verwendet nur Google SSO, und Discourse bietet das bereits an.

Die offene Frage ist also, ob es eine ähnliche Option wie bei Target gibt, da die Kayak-Option bereits vorhanden ist (ich würde die Registrierung nicht nur auf Google-Nutzer beschränken, aber das bin nur ich).

Was passiert, wenn ein Target-Nutzer beispielsweise von einem iPhone zu Android wechselt?

Kayak erlaubt es Ihnen tatsächlich, sich mit einem Passkey anzumelden, wenn Sie Ihre E-Mail-Adresse eingeben. Leider ist die E-Mail-Adresse immer noch erforderlich.

Ihre Passkeys sollten mit Ihrem Passwort-Manager synchronisiert werden, damit sie verfügbar sind. Sie können auch mehrere Passkeys zu einem Konto hinzufügen, sodass Sie einfach einen neuen mit dem neuen Telefon erstellen können. Derzeit arbeiten sie daran, sie exportierbar zu machen, damit Sie einfacher zwischen Passwort-Managern wechseln können.