Single-Sign-On: Was ist vom neuen Login-Verfahren zu halten?
Sich mit einem einzigen Passwort bei allen Webseiten einloggen, oft sogar, ohne ein Konto zu eröffnen – das klingt ziemlich praktisch. Dieses Prinzip liegt dem Verfahren Single-Sign-On zugrunde, das von Anbietern wie Google, Facebook oder Trustly populär gemacht wurde. Zahlreiche Online-Shops bieten diese Option. Nachrichtenportale oder Plattformen wie Pinterest gewähren auf diese Weise Zugang zu ihren Inhalten. Und Online Casinos nutzten das Verfahren bis vor Kurzem, um ihren Nutzern eine langwierige Verifizierung der Identität zu ersparen. Es gibt aber auch immer wieder Kritik an der neuen Login-Methode.
Single-Sign-On dient auch der Datensammlung
Wer das Geschäftsmodell von Google und Facebook kennt, sollte eigentlich misstrauisch werden. Schließlich finanzieren die beiden Unternehmen sich dadurch, dass sie so viele Daten über ihre Nutzer sammeln wie nur irgendwie möglich. Das Single-Sign-On Verfahren stellt dabei keine Ausnahme dar. Die Datenkraken erhalten dadurch detaillierte Einblicke in das Einkaufsverhalten und andere Gewohnheiten, die ihnen normalerweise nicht zugänglich gewesen wären. Noch schlimmer: Oft haben auch Drittanbieter Zugriff auf die Daten, die von Facebook gesammelt werden. Es lässt sich nicht ausschließen, dass sich darunter Firmen befinden, die Datensätze zu Werbezwecken verkaufen. Wer die Kontrolle über seine Daten bewahren möchte, wird das Single-Sign-On Verfahren also meiden, auch wenn es noch so praktisch ist. Wer nicht ganz darauf verzichten möchte, sollte sich zumindest die Datenschutzerklärung genau ansehen, bevor er das Verfahren nutzt.
Größeres Risiko bei Passwort-Verlust
Es gibt genügend User, denen völlig egal ist, was mit ihren Daten geschieht. Sie werden ihren Komfort nicht opfern, nur weil ihnen jemand die Datensparsamkeit predigt. Aber es gibt noch ein ganz anderes Problem beim Single-Sign-On: die Sicherheit. Immer wieder predigen IT-Experten, dass man möglichst für jedes Login ein anderes Passwort verwenden soll. So wird der Schaden verringert, wenn eines der Passwörter einmal geknackt werden sollte. Dieses Prinzip wird durch Single-Sign-On ausgehebelt. Wer das Passwort kennt, kann sich auf allen teilnehmenden Plattformen unter dem Namen des Users einloggen. Die Konsequenzen sind schwer abzusehen. Wer Single-Sign-On verwendet, muss daher besonders achtgeben, keiner Phishing-Attacke zum Opfer zu fallen. Immerhin: Facebook und Google unterstützen ein zweistufiges Authentifizierungsverfahren. Das bedeutet, der Account-Inhaber erhält zusätzlich zum Passwort einen Freischaltcode über sein Smartphone. Nur damit kann er sich dann anmelden.
Casinos: Es geht auch ohne Single-Sign-On
Eines der erfolgreichsten Single-Sign-On Verfahren wurde erst kürzlich wieder eingestellt. Das Online Casino ohne Anmeldung gab es erst, seit der Zahlungsabwickler Trustly seinen Dienst Pay N Play eingeführt hatte. Es war vor allem deshalb so beliebt, weil die Erstellung eines Nutzerkontos im Casino mit einer langwierigen Überprüfung der Identität verbunden ist. Die Nutzer nahmen dafür auch einige Nachteile in Kauf, zum Beispiel die eingeschränkte Anzahl der Glücksspielanbieter, die an dem System teilnahmen. Vor Kurzem stellte Trustly die Zusammenarbeit mit Online Casinos allerdings ein, sodass auch Pay N Play nicht mehr verfügbar ist. Über die Gründe hierfür kann nur spekuliert werden, denn Berichte über Sicherheitslücken oder technische Probleme gibt es nicht. Möglicherweise wird zeitnah ein anderes Unternehmen in diese neue Marktlücke vorstoßen. Fakt ist, dass Online Casinos dadurch zwar etwas weniger komfortabel sind als zuvor. Die Umsätze der Branche dürfte das aber kaum beeinträchtigen – es geht also offensichtlich auch ohne Single-Sign-On.
Bild von Mikhail Mamontov auf Pixabay