I think an even better solution would be to remove the password completely, allowing users to login with only an email address. Each time a user needs to login, they enter their email address and receive a login link via email.
Clevere Idee. Letztlich bewegen wir uns schon in eine ähnliche Richtung; nur dass wir auf proprietäre Identityhubs wie Facebook, Google und Twitter statt Email setzen. Die Vorteile von ersteren werden auch immer gegenüber der system- und damit funktionsfreien Email überwiegen. Browns Vorschlag sollte aber zumindest als Plan B für Webdienste in Frage kommen, die komplett auf eigene User-Passwörter verzichten.
(Via Marco.org)
Das Problem ist halt nur, dass mit den Single-Log-In Missbrauch wesentlich einfacher wird. Zur Zeit muss ich bei jeder Seite den Username UND das Passwort herausbekommen (O.K. Passwort meistens nur einmal, da es eh über alle Seiten gleich ist ;-) ). Nun reicht es aus einmal das E-Mail-, Google-, fb- oder was-auch-immer-Konto zu hacken und ich habe quasi unbegrenzten Zugriff.
Der trade-off zw. usability und Sicherheit lässt sich damit nicht (nie?) auflösen.
Die meisten User verwenden auch so schon ein Passwort überall. Aber ja, es gibt zwei Seiten der Medaille.
Wir verwenden das System seit Jahren für unterschiedliche Projekte und haben nie Probleme gehabt.
Man muss die Nutzung allerdings überwachen und bei verdächtigen Mustern doch noch einschreiten.
Und mal ehrlich, wer die Mailbox hat, hat die Identität.
Sowas nennt sich Two-Factor-Authentication. Die wenigsten machen das per Email, einige kennen das noch mit den (wiederholt gehackten) Secure-Tokens der Firma RSA. Google und andere bieten das inzwischen für Mobiltelefone als App oder per SMS.
Und ansonsten darf man sich für die Kommentare hier ja auch per disqus, g+, twitter oder facebook identifizieren…
Oder man verzichtet ganz auf den Login, zumindest für Mobile, indem man das Device aktiviert und nicht den User. Funktioniert zumindest in den Fällen, in denen eine good-enough Sicherheit ausreicht:
https://github.com/harryf/thoughts/blob/master/mobile-killed-the-login.md
bzw. die Diskussion darum hier:
http://news.ycombinator.com/item?id=4240407
:
E-Mail-Clients sind keine sicheren Passwortspeicher.
– Daten werden im Klartext verwaltet
– Zugriffssicherheit und Verbindungssicherheit kann nicht gewährleistet sein und kann vom Serviceanbieter beeinträchtigt werden. Passwörter/Tokens (wenn auch kuzzeitige) könnten im Klartext durchs Netz laufen
In der vorliegenden Idee
– gibt es keine Authentifizierungmöglichkeit um die E-Mail-Adresse zu ändern
– sind Operationen in 2 Kontexten nötig. Nicht in allen OS bzw. Software-Konstellationen sind Browser udn E-Mail-Client gut integriert
– gibt es die Möglichkeit zum Spamming/Flooding von Nutzern
– steht und fällt die Nutzung mit Verfügbarkeit des Mailservers und des Mailclients
…
Ich finde daran nichts clever.