Dienstag, 15.10.2019
 
Seit 15:35 Uhr @mediasres
StartseiteVerbrauchertippEinloggen ohne Passwort11.09.2019

"Mobile Connect"Einloggen ohne Passwort

Aufwendige Neuregistrierungen, Passwortänderungen oder Sperren lassen sich vermeiden, versprechen Telekommunikationsfirmen. Das neue Login-Zugangsverfahren namens "Mobile Connect" soll einfach nur mit der Handynummer funktionieren. Experten sehen das Verfahren kritisch.

Von Susanne Lettenbauer

Hören Sie unsere Beiträge in der Dlf Audiothek
Das vereinfachte Login-Verfahren soll mit der Handynummer funktionieren (imago images / Panthermedia / Andrey Popov)
Das vereinfachte Login-Verfahren soll mit der Handynummer funktionieren (imago images / Panthermedia / Andrey Popov)
Mehr zum Thema

Bloß nicht wegwerfen Alte Mobiltelefone sinnvoll nutzen

Smartphones und Tablets Ärger mit der Akku-Laufzeit vermeiden

LTE auf dem Land Wenn das Internet schlecht ausgebaut ist

Die eigene Handynummer kennt jeder, der ein Mobiltelefon häufiger nutzt. Die Anbieter des Login-Verfahrens "Mobile Connect" nutzen die eigene Handynummer als Universal-Login. Voraussetzung ist ein Mobilgerät, das SMS-Nachrichten empfangen kann, erklärt Sönke Peters, Projektleiter im Innovationsbereich bei Vodafone Deutschland:

"Ganz entscheidend ist, dass immer das Handy eine zentrale Rolle spielt bei der Authentifizierung. Der Prozess sieht wie folgt aus. Beispiel: Sie sind auf der Login-Seite eines Internetportals, dort geben Sie Ihre Handynummer ein, Sie erhalten dann sofort eine SMS auf Ihr Handy von Ihrem Netzbetreiber. Sie müssen dann auf Ihrem Handy den Erhalt der SMS bestätigen."

Die Bestätigung erfolgt durch das Anklicken eines Links, der mit der SMS verschickt wurde, so Peters. Der Netzbetreiber authentifiziert durch die Aktivierung des Links seinen bei ihm registrierten Kunden und schaltet ihn für das besuchte Internetportal frei.

In mehreren Ländern im Angebot

Voraussetzung: Das Portal muss an dem Login-Verfahren mit Handynummer überhaupt teilnehmen.

"Wir senden dann verschlüsselt und sicher dem Portalbetreiber eine sogenannte pseudonymisierte Kundenreferenznummer, so dass der Portalbetreiber damit von uns die Bestätigung bekommt, dass sich der Kunde bei uns sauber authentifiziert hat."

Das vereinfachte Login-Verfahren per Handynummer ist bereits in mehreren Ländern bei unterschiedlichen Anbietern im Portfolio.

"Mobile Connect" - das gemeinsame Login-Verfahren der drei großen deutschen, sonst konkurrierenden Telekomanbieter will dem ein europäisches Konzept entgegensetzen, so der Projektleiter bei Vodafone Peters:

"Wir versprechen uns davon einen besseren Schutz unserer Kunden in erster Linie. Wir glauben, dass wir mit diesem Verfahren ‚Mobile Connect‘ es schaffen können, das unsichere Passwort in Kombination mit einer Email-Adresse, was häufig genutzt wird, ablösen zu können. "

Was jedoch, wenn man das Handy verliert, im Büro oder in der Wohnung liegenlässt? Die eigene Handynummer kennen auch Verwandte, Bekannte oder Kollegen. Wichtigste Authentifizierung ist die SMS mit einem Link, der nur bei entsperrtem Handy angeklickt werden kann. Damit soll verhindert werden, dass Fremde eventuelle Push-Mitteilungen wie eine Pin oder ähnliches, die auch bei gesperrtem Handy sichtbar sind, lesen können.

Die Schwachstelle des Verfahrens

Genau da sehen aber Sicherheitsexperten wie Ronald Eikenberg vom Heise-Verlag die Schwachstelle des "Mobile Connect"-Verfahrens:

"Aus unserer Sicht sind wir erstmal überrascht, dass da noch SMS-Nachrichten zum Einsatz kommen, weil die per se erstmal relativ unsicher sind."

Außerdem gebe es noch zu wenige Kooperationspartner, die "Mobile Connect", Login mit Handynummer auf ihren Portalen anbieten, gibt Sicherheitsexperte Eikenberg zu bedenken:

"Es ist leider alles nicht so einfach, wie sie es alles bewerben, weil die Verbreitung sehr gering ist aktuell. Also sie versuchen da in einen Markt einzutreten, der schon gut gesättigt ist durch Facebook, Google & Co. Also ich rechne nicht damit, dass sich das in nächster Zeit nennenswert verbreiten wird."

Natürlich sei es bequem, sich keine Benutzernamen und Passwörter mehr merken zu müssen, gibt Eikenberg zu, aber für deren Verwaltung könnte man lieber eher spezielle Passwort-Apps oder einen verschlüsselten USB-Stick am Schlüsselbund nutzen.

Das könnte sie auch interessieren

Entdecken Sie den Deutschlandfunk