Yahoo verabschiedet sich in den USA von Passwörtern
Passwort vergessen? Geht es nach Yahoo, wird dies in Zukunft nicht mehr vorkommen, da es gar kein Passwort mehr gibt, das Ihr vergessen könnt. In den USA führt Yahoo nun die On-demand-Passwörter ein. Das Ganze funktioniert im Prinzip wie eine 2-Faktor-Authentifizierung, nur dass der Schritt mit dem normalen Passwort weggelassen wird. Nutzer in den USA können sich für die On-demand-Passwortanfrage in ihrem Yahoo-Account anmelden.
Bestätigen sie ihre Mobilfunknummer, erhalten sie künftig bei jedem Login ein Passwort per SMS zugeschickt. Mit diesem können sie sich dann bei Yahoo einloggen. Das neue Login-Feature steht US-Nutzern von Yahoo ab sofort zur Verfügung. Ob es auch auf andere Länder ausgeweitet wird, ist bisher nicht bekannt. Für mich klingt dies super praktisch. Egal ob bei Diensten, bei denen man sich täglich anmeldet oder bei Diensten, die man nur alle Jubeljahre nutzt, einfach ein per SMS erhaltenes Passwort eingeben zu müssen ist in beiden Fällen praktisch. Darf sich so gerne überall durchsetzen.
(Quelle: Yahoo)
Wird geladen ...
Was soll daran Praktisch sein? Das ist supernervig. Kein Mobilfunkempfang? Akku alle? Handy im Auto liegen gelassen? usw usw und schon kann man nicht mehr auf seine Emails zugreifen?
Klingt für mich beknackt. Wer diese zusätzliche „Sicherheit“ will gerne aber sowas als Pflicht zu machen ist Müll. Sollen jetzt wieder die drunter leiden die nicht zu blöd sind sich ihr Passwort sicher zu gestalten und auch zu merken?
Und wer haftet wenn man mal zu spät mitbekommt das das Handy entwendet wurde? Das passiert Ruck Zuck. Wenn man feiern ist merkt man es vielleicht erst am nächsten Tag…
Schöner finde ich da die Lösung, wie sie Twitter einsetzt. Man bekommt eine Anfrage auf’s Smartphone gepusht und kann diese dann bestätigen.
Dafür bräuchte es aber erstmal einen breit akzeptierten Standard, damit man nicht zig verschiedene Apps für verschiedene Dienste braucht.
Naja, der Vorteil der 2FA ist ja, dass ein Faktor (das Passwort) nicht ausreicht, um in den Account zu kommen. Mit dieser neuen Lösung ist man dann wieder zurück bei einem Faktor. Wird mir also das Handy geklaut (oder die SMS abgefangen), genügt das um auf mein Konto zuzugreifen.
Ich kann da auch nix praktisches dran finden. Als Option im Rahmen einer 2-Faktor-Auth gerne, aber jedesmal mein PW aus dem Handy *abtippen*? Nee!
Ich hab meinen PW-Manager, der macht das momentan für mich und das würde mit einem reinen SMS-PW flach fallen. Unpraktisch und nervig.
Damit würde der Dienst für mich endgültig unbrauchbar. SMS kann ein uraltes Notfallhandy, dessen Nummer ich ganz gewiss keinen Social Networks verrate, keines meiner Geräte, mit denen ich das Netz nutze, kann SMS …
Geht sowas nicht mal ohne Medienbrüche? Müssen alle alles haben?
Viel bedenklicher finde ich noch das heutzutage viele auf Ihre Accounts via Tablet und Telefon zugreifen. Wenn das Handy geklaut wird oder verloren geht und das Passwort in Form von SMS gleich komfortabel dazu geliefert wird, dann ist das ganze komplett untergraben. Das macht also nur Sinn solange die zwei System entkoppelt sind (z.B. PC + Telefon eben), insofern kann und darf sich das gar nicht so durchsetzen das es in Zukunft jeder als einzige Option anbietet. Dem User die Wahl zu lassen finde ich jedoch richtig, jeder soll selbst entscheiden können in welcher Form er wieviel Sicherheit möchte. Von mir aus statt als SMS auch gerne mit einen mobilen Token, gibts ja auch Apps dafür, z.B. von Google.
Was für ein Unsinn ist das denn? Soll sich jetzt wegen Yahoo jeder ein Handy oder Smartphone zulegen? Irgendwie habe ich das Gefühl, daß die Konzerne immer mehr durchdrehen!
Meiner Meinung Nach ist dies weder sicherer, noch praktischer. Ein dienstübergreifender Standard, bei dem man einen Loginversuch auf dem Smartphone oder in Zukunft auf der Smartwatch bestätigen muss wäre in der Tat sinnvoller.
Bei aller Bequemlichkeit sollte man die Sicherheit nicht überall außer Acht lassen.
Mal ganz kurz:
Kann yahoo durch den Versand einer SMS sehen, wo ich mich befinde?
Die Kommentierer vor mir haben zu 100% recht. Was ist wenn das Handy verloren geht? Freifahrtkarte auf alles und jeden. Login womöglich noch per Handynummer, Passwort kommt denn per SMS. Echt super. Oder wenn man das Handy abmeldet und die Nummer neu vergeben wird? Gab schon solche Skandale bei WhatsApp. Mit Sicherheit hat das absolut garnichts zu tun, ganz im Gegenteil. Mal davon abgesehen dass ich nicht jedem Hanz und Franz Webdienst meine Nummer geben will. Wer weiß wo die überall landet. Was mit E-Mail Adressen geht wird genauso auch mit Handynummern funktionieren.
Sollte so etwas verpflichtend werden sehe ich für mich eine andere Pflicht: Die Accounts sofort zu kündigen, egal bei wem.
Für Onlinebanking finde ich das ok (da braucht man auch noch Benutzername und Passwort. Zusätzlich.). Aber für eine Spammail-Schleuder? Definitiv nicht. Und was anderes ist Yahoo (Mail) ja nicht.
Abgesehen von den korrekten Bedenken der anderen:
Wenn schon, daß nicht per SMS, sondern per eMail. Meine Bedenken sind vor allem, daß Yahoo amerikanisch ist. D.h. auf Anweisung müssen sie Informationen weitergeben. Das ist eine wunderbare SIM-Karten Datenbank mit Personenbezug für die NSA. Da wird ein Traum war, wenn sich so etwas durchsetzen würde.
Ne, OTP wie gehabt mit FreeOTP oder der Google Variante ist die bessere Lösung.
Wenn es denn zuverlässig funktioniert. Bei anderen Diensten tat es das nicht immer und dann steht man ziemlich blöd da. Wie funktioniert dann E-Mail Abruf über IMAP mit externen Programmen/Apps? Stelle ich mir schwierig vor oder gibt es dann so etwas wie App-Passwörter?
Und wenn das Handy abhanden kommt, was gibt es als Backup?
„Das Ganze funktioniert im Prinzip wie eine 2-Faktor-Authentifizierung, nur dass der Schritt mit dem normalen Passwort weggelassen wird.“ Wo ist dann eine 2FA, wenn ein Teil fehlt? Ist wie rot, nur in blau 🙂 Als zusätzliche Stufe (2FA) mit Fallback-Lösung in Form von Backup-Codes wie bei Google, dann ja. Sollte es verpflichtend werden, sehe ich das wie Thomas: einen Account bei einem anderen Anbieter suchen.
Voll nervig sowas!
Leute mit Passwort Manager bekommen das heulen.
Würde mich richtig freuen sowas jedesmal einzugeben „X7hXUs8mX=/7Uv82“ 😀
Naja, trotzdem kein Grund zur Aufregung Leute. Ist ja optional 🙂
@sublist:
Man kann auch komplexe Passwörter erfinden die man sich sehr leicht merken kann. Ein schönes Beispiel hat Microsoft gebracht:
„IlbPf0,99€“
Die Anfangsbuchstaben von „Ich liebe billige Pizza für 0,99€“. Groß/Kleinschreibung, Zahlen und Sonderzeichen, alles drin. Es muss trotz Komplexität nicht gleich ein Passwortmanager sein.
Einfach ein Schmarrn …
Will ich jeden Account im Internet mit meiner Handynummer verknüpft haben?
Nein!
Na Herzlichen Glückwunsch, also Handy geklaut und schon hat der Dieb vollen Zugriff auf den Account. Was mache ich wenn ich vergessen habe meine Prepaidcard zu verlängern?
Und was mache ich wenn ich bei einem Dienst nur alle jubel Jahre ein logge und vergessen habe meine neue Handynummer zu hinterlegen?
Und warum muss ich jeden daher gelaufenen Dienst meine Handynummer geben?
@Thomas:
Natürlich hast du recht. Aber Theorie und Praxis sind da weit von einander getrennt. Wende das Beispiel nun an die 50 Dienste an, wo du aktuell ein Passwort brauchst. Quizfrage: Wie merkst du die alle?
Ich sehe es wie der Rest. Totaler Quatsch. Wieso habe ich eine PW-Manager wo ich sichere Passworts hinterlege. Großen Spaß macht das dann am Smartphone. Will ich flickr und co nutzen muss ich dann auch jedesmal die SMS erhalten dorthin wechseln. Kennwort merken und wieder zur App wechseln? Ja genau! *Facepalm*