Credential Stuffing in voller Fahrt an Black Friday & Cyber Monday
Computer, Smartphones und jede Menge Online-Dienste: Die Fülle an Passwörtern und Zugangsdaten, die sich nahezu jeder Internetnutzer heutzutage merken muss, nimmt immer weiter zu. Das macht vielen Usern zu schaffen - sie fühlen sich von der grossen Menge an Passwörtern überfordert. Die Folge: Die IT-Sicherheit wird zunehmend zum leidigen Thema und führt dazu, dass der durchschnittliche Internetnutzer unter einer sogenannten „Passwortmüdigkeit“ leidet. Das bedeutet, dass viele Benutzer die Datensicherheit vernachlässigen und für die meisten Dienste dasselbe Passwort oder eine Variante davon nutzen. Um dieser Entwicklung entgegenzuwirken und die Sicherheit der Nutzer zu erhöhen, verwenden viele Online-Plattformen den sogenannten „Social Login“. Dabei werden lästige Registrierungen bzw. Anmeldungen beispielsweise durch einen Facebook- oder Google-Login ersetzt. Doch wie sicher ist es für Anwender, sich über Social Media bei der Plattform eines Drittanbieters anzumelden und wie genau funktioniert die Authentifizierung? Alle wichtigen Informationen rund um den Social Login klären wir auf.
Der Social Login ist eine Form des SSO (Single Sign-on). Dabei wird es Nutzern ermöglicht, sich bei der Website eines Drittanbieters anzumelden, indem die vorhandenen Informationen aus einem sozialen Netzwerk wie Facebook, Twitter, LinkedIn oder Google verwendet werden.
So klappt die Anmeldung per Social Login
Der Social Login gilt als eine der bekanntesten Formen des SSO und ist gerade bei Online-Händlern, Streaming-Anbietern oder in Internet-Foren weit verbreitet. Verfügt eine Webseite über einen Social Login ist es Usern möglich, sich per Klick auf ein „Widget“ mit der von ihm gewählten sozialen Plattform zu verbinden. Dabei werden üblicherweise Standards wie OAuth (Open Authorization) für den Austausch von Anmeldeinformationen für soziale Netzwerke verwendet. Entscheidet sich der Nutzer für die Anmeldung über einen solchen OAuth-Client, wird eine dritte Partei (wie Facebook, Google oder Twitter) – der sogenannte Identity Provider – damit beauftragt, gegenüber dem neuen Dienst die eigene Identität zu bestätigen. Somit ist es den Nutzern möglich sich bei einer neuen Website anzumelden, in dem ein bereits bestehender Account eines anderen Anbieters verwendet wird.
Dieser Anmeldevorgang gilt als tokenbasierte Authentifizierung, die es ermöglicht, die Kontoinformationen eines Identity Providers zu verwenden, ohne die Anmeldedaten des Nutzers an den Drittanbieter weiterzugeben. OAuth fungiert dabei als Vermittler und stellt dem Drittanbieterdienst ein Zugriffstoken zur Verfügung, das die Freigabe bestimmter Kontodaten autorisiert. Somit muss sich der User nicht extra für die jeweilige Website registrieren.
Die Vorteile des Social Logins
Immer mehr Nutzer empfinden klassische Anmeldeformulare auf Websites und in Apps als lästig und halten diese Methode für einen sehr komplizierten Weg, sich auf Webseiten zu registrieren oder anzumelden. Die Lösung: Single Sign-on Dienste wie der Social Login. Hierbei ist es für Nutzer nicht notwendig, bei der Registrierung die eigenen Daten wie beispielsweise Namen, E-Mail-Adresse oder Telefonnummer anzugeben. Das spart Zeit und erhöht gleichzeitig die Zahl der Registrierungen für Unternehmen. Dem Nutzer wird durch den Klick „mit Social Media-Kanälen einloggen“ eine unkomplizierte und schnelle Möglichkeit geboten, sich zu registrieren oder anzumelden. Denn jeder kennt das Problem: Es ist schon einige Zeit her, seitdem man sich bei seinem Lieblings-Streaming-Dienst angemeldet hat. Der Schriftzug „Login fehlgeschlagen. Falsches Passwort“ erscheint. Nachdem die Nutzer nun ohne Erfolg all ihre Standard-Benutzernamen und Passwörter ausprobiert haben, geben viele von ihnen frustriert auf und verlassen die Seite. Abhilfe schafft hier der Social Login. Dieser spart Zeit und vor allem Nerven.
So steht es um die Sicherheit des Social Logins
Schätzungen zufolge wird Social Login von mehr als 50% der Internetnutzer weltweit verwendet. Einige Experten sind der Meinung, dass Social Login die Nutzeraktivität und die Umsatzraten steigern kann, da es für die Nutzer einfacher ist, ein Konto zu erstellen und sich anzumelden. Jedoch zeigt eine Umfrage zur Nutzung von Single Sign-on Diensten in Deutschland, dass 2022 lediglich 27 Prozent der Deutschen einen solchen Social Login via Facebook, Apple, Google, LinkedIn etc. nutzten. Aber warum eigentlich? Was spricht gegen den Einsatz eines Social Logins?
Kritiker fürchten vor allem einen zu laxen Umgang in Sachen Datensicherheit und -schutz. Denn geht das Passwort eines solchen SSO-Accounts verloren, kann das immense Folgen haben. Geraten die Daten erstmal in falsche Hände, z.B. aufgrund eines Hacker-Angriffs, erhalten die Diebe nicht nur Zugang zum jeweiligen Benutzerkonto, sondern auf alle Seiten mit entsprechender Login-Möglichkeit.
Doch trotz all dieser Zweifel hinsichtlich der Sicherheit der SSO-Dienste gelten die zum Datenaustausch verwendeten Protokolle als sicher. Denn bei der Anmeldung über einen solchen OAuth-Client erhält der neue Dienst nie ein Passwort, welches er verlieren oder verkaufen könnte. Und auch das Risiko seitens der Nutzer ist minimal, da diese sich keine neuen Zugangsdaten merken müssen und von einem reibungslosen Authentifizierungsprozess profitieren. Vielmehr gilt hier das Motto „Die grösste Bedrohung für die IT-Sicherheit sitzt vor dem Computer“: Denn aufgrund der zunehmenden Passwortflut suchen viele User nach kreativen Lösungen, um die Anmeldung zu vereinfachen. So werden Passwörter einfach mehrfach verwendet oder nur grob verändert.
Es gilt: je mehr Anmeldedaten es gibt, desto unsicherer wird die IT-Umgebung. Demnach muss es das Ziel sein, die derzeitige Passwortflut zu reduzieren.
