Geteilte Loginformulare

Ich benutze einen Passwortmanager, der mit einem Tastendruck den Benutzername und Passwort direkt nacheinander einfüllt. Das ist sehr praktisch, weil ich so komplizierte Passwörter nutzen kann, die auch für jeden Dienst anders sind. [1]

Jedenfalls gibt es Webseiten, die nicht einfach ein Feld für Benutzername und Passwort untereinander haben. Zum Beispiel Google:

../../_images/google-1.png

Dort muss man die Emailadresse eingeben, Enter drücken, die kurze Animation abwarten und kann dann erst tippen. Das kann mein Passwortmanager so aber nicht, er erwartet, dass das mit Tab geht. Und das tut es bei Google nicht. Daher muss ich erst die Emailadresse manuell herauskopieren und klicken. Dann kann ich das Passwort eingeben:

../../_images/google-4.png

Dafür brauche ich also deutlich mehr Handarbeit, bis ich auf dem Konto dann eingeloggt bin. Gerade das Google-Konto möchte ich nicht immer automatisch eingeloggt haben, ansonsten kann Google ich noch deutlich leichter im Netz verfolgen. Das muss ja nicht sein.

Also muss ich mir jetzt irgendwie was einfallen lassen, wie ich meinen Passwortmanager dazu bekomme mich da trotzdem komfortabel anzumelden.

Dabei ist mir sogar noch aufgefallen, dass Google das „Enumeration Risk“ hat: Man kann herausfinden, mit welchen Emailadressen ein Google Konto assoziiert ist. Gibt man eine Emailadresse ein, die nicht registriert ist, so wird einem das mitgeteilt:

../../_images/google-2.png

Und das liegt nicht nur an der reservierten Domain example.com, das geht auch mit legitimen aber nicht registrierten Emailadressen:

../../_images/google-3.png

Ich habe das mal Troy Hunt geschickt, der bloggt ja auch gerne über solche Risiken.


[1]

Das schützt mich vor Attacken, bei dem ein Dienst geknackt wird und mit den Emailadressen und Passwörtern diverse andere Dienste ausprobiert werden. Seine eigene Email kann man bei Have I Been Pwned testen. Die Seite wird von Troy Hunt betrieben, den ich für durchaus seriös halte.

Auf der Webseite sieht man dann, bei welchen Diensten die Emailadresse angemeldet war und dass sie irgendwo öffentlich zugänglich in einem erbeuteten Auszug einer Datenbank zu finden ist.