Zurück zum Blog

Unterschätze Passwortlos nicht

Published on: 2025-1-3 Unterschätze Passwortlos nicht

Unten finden Sie eine leicht überarbeitete Version mit korrigierten Tippfehlern, verbessertem Satzbau und kleineren Anpassungen für bessere Lesbarkeit – ohne den ursprünglichen Sinn zu verändern:

Wide Angle Analytics verwendet keine Passwörter. Obwohl das Verwalten von Passwörtern technisch gesehen ein gelöstes Problem ist, stellt es immer noch ein ernsthaftes Sicherheitsrisiko dar. Aus diesem Grund nutzen wir Magic Links. Trotz des Namens sind Magic Links jedoch nicht wirklich „magisch“: Es handelt sich um robuste, zeitlich begrenzte Links, die per E-Mail zugestellt werden.

Dieser Beitrag wurde von einem kürzlich erschienenen Artikel auf 404 Media inspiriert. 404 Media ist ein neues, unabhängiges Medienunternehmen, das von den Tech-Journalisten Jason Koebler, Emanuel Maiberg, Samantha Cole und Joseph Cox gegründet wurde.

404 Media und Ghost

404 Media setzt auf Ghost, eine hervorragende Publishing-Plattform, die für Kreative und Autorinnen entwickelt wurde. Sie ist schnell und sowohl für Autorinnen als auch Leser*innen angenehm zu bedienen.

Nur damit Sie es wissen: Sie können die datenschutzfreundliche Wide Angle Webanalyse ganz einfach in Ihre Ghost-Website integrieren. Folgen Sie dafür einfach dieser kurzen Anleitung.

Fun Fact: Die Videos zum Thema „digitales Nomadentum“ von John O’Nolan, einem der Ghost-Gründer – zusammen mit den frühen Geschichten von Peter Levels – haben mich ursprünglich in das große Abenteuer Unternehmertum gezogen.

Wer eine gute Einführung in Magic Links möchte, sollte sich den erwähnten Artikel ansehen. In diesem Beitrag erkläre ich, warum wir Magic Links anstelle von Passwörtern verwenden.

Erstens: Komfort

Um sich bei Wide Angle Analytics anzumelden, braucht man nur eine E-Mail-Adresse anzugeben. Kein Passwort. Keine komplizierten CAPTCHAs. Wir haben lediglich ein eigenes Proof-of-Work-CAPTCHA, das für Sie, als menschlichen Nutzer, nur ein paar Millisekunden oder maximal ein bis zwei Sekunden Zeit kostet. Das war’s.

Ein einfaches Formular. Ein Feld. Einfacher geht es buchstäblich nicht. Nun gut, man könnte Social Logins verwenden, aber die verstoßen grundsätzlich gegen die Privatsphäre der Nutzer*innen und sind daher für uns nicht akzeptabel.

Zweitens: Sicherheit

Sicherheit ist ein sehr vielschichtiger Aspekt. Wir unterteilen sie hier in drei Bereiche:

  1. E-Mail als Identitätsanbieter
  2. Multi-Faktor-Authentifizierung
  3. Passwortkomplexität und -verschlüsselung

1. E-Mail als Identitätsanbieter

Ihre E-Mail-Adresse ist – oder sollte zumindest sein – Ihr am besten geschütztes Online-Gut. Darüber legen Sie die meisten Ihrer Online-Konten an, kommunizieren mit Anbietern und oft auch mit Behörden. Außerdem ist die E-Mail häufig Ihre letzte Verteidigungslinie, da sie im Passwort-Zurücksetzen-Prozess zum Einsatz kommt.

Egal, ob Sie Ihre E-Mail für den Amazon-Einkauf oder für das Registrieren bei einer Web-Analytics-SaaS-Plattform nutzen: Sie muss sicher sein.

2. Multi-Faktor-Authentifizierung

Im Jahr 2025 sollte man einen Dienst, der keine 2FA oder MFA anbietet – sei es per Einmalkode (TOTP), SMS-Token oder Hardware-Sicherheitsschlüssel – kritisch betrachten.

Ihre E-Mail sollte unbedingt über 2FA verfügen. Falls nicht, wechseln Sie am besten so schnell wie möglich.

Wenn man die Bedeutung der E-Mail-Sicherheit berücksichtigt und hinzunimmt, dass Sie sich über einen Link anmelden, der an Ihr geschütztes Postfach gesendet wird, sind Magic Links eine sinnvolle Balance zwischen dem Einrichten zusätzlicher QR-Codes in Apps wie Google Authenticator oder Microsoft Authenticator und dem völligen Verzicht auf MFA.

Magic Links können weder gestohlen noch gefälscht werden. Sie laufen meist innerhalb kurzer Zeit ab (bei Wide Angle Analytics in 10 oder 20 Minuten), sodass sie nicht erneut verwendet werden können. Außerdem beruhen sie auf Ihrer Inhaberschaft des E-Mail-Kontos als Identitätsnachweis – also auf etwas, das Sie kennen, besitzen und auf das Sie zugreifen können.

3. Passwortkomplexität und -verschlüsselung

Wie bereits erwähnt, ist die Passwortverschlüsselung zurzeit relativ gut verstanden. Es gibt starke Algorithmen und erprobte Bibliotheken dafür.

Trotzdem passieren noch immer Passwortlecks, und in riesigen Datenbanken abgegriffener, gehashter Passwörter finden Hacker*innen wahre Goldgruben.

Die traurige Wahrheit ist, dass Passwörter immer noch viel zu oft wiederverwendet werden:

Eine Studie unter 28,8 Millionen Nutzer*innen ergab, dass 52 Prozent ihre Passwörter wiederverwenden.

Das bedeutet, dass es egal ist, wie stark Ihre Verschlüsselung ist: Ein Passwort, das bei einem anderen Dienst – völlig außerhalb Ihres Einflussbereichs – abgegriffen wurde, kann genutzt werden, um sich Zugang zu Nutzerkonten zu verschaffen.

Mein verstorbener Vater hat für so gut wie jeden Online-Dienst dasselbe einfache Wörterbuch-Passwort (ohne Zahlen oder Sonderzeichen) verwendet. Und er ist damit kein Einzelfall.

Das ist der letzte Grund, warum Wide Angle Analytics auf Magic Links setzt.

Compliance

Die DSGVO schreibt zwar nicht explizit vor, welche technischen Maßnahmen man zum Schutz von Daten verwenden muss, macht aber eine Sache deutlich: Man muss „Data Protection by Design und by Default“ praktizieren.

Der Verantwortliche (also wir, der Dienstanbieter, in vereinfachter Form) muss angemessene technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten zu schützen und zu sichern.

Da

  1. wir nicht sicherstellen können, dass unsere Nutzer*innen ihre Passwörter nicht wiederverwendet haben, und
  2. wir nicht von allen verlangen können, eine TOTP-basierte Zwei-Faktor-Authentifizierung einzurichten,

…ist es nur folgerichtig, auf kurzlebige Magic Links zu setzen.

Denn wenn das E-Mail-Konto einer Person kompromittiert wird, ist in so vielen Bereichen „Game Over“, dass der Zugriff auf Webanalytics dabei vermutlich noch das geringste Problem darstellt.

Einige der Kritikpunkte überschneiden sich mit denen, die auch im Artikel von 404 Media erwähnt werden. Lesen Sie den Artikel daher gern im Detail.

Passwörter können sicher sein – man muss nur einen Passwortmanager verwenden

Entgegen den Aussagen auf Hacker News oder Reddit benutzt nicht jede*r einen Passwortmanager.

Eine Studie zeigt, dass nur 23 % der erwachsenen US-Amerikaner*innen einen Passwortmanager verwenden. Eine andere Studie schätzt, dass diese Zahl weltweit bei etwa 60 % liegen könnte.

Die E-Mail kommt zu spät oder gar nicht an

Ähnlich wie bei 404 Media können wir zum Glück sagen, dass Probleme mit der E-Mail-Zustellung Ausnahmen sind. In fast allen Fällen kommt die Login-E-Mail nach wenigen Sekunden an.

Allerdings hängt die Toleranzgrenze für Verzögerungen stark vom jeweiligen Produkt oder Dienst ab. Bei zeitkritischen Services wie IT-Monitoring-Plattformen oder Finanz-Tools (und ihren Nutzer*innen) kann selbst eine kurze Verzögerung von wenigen Sekunden schon zu viel sein.

Ich habe nicht immer Zugriff auf meine E-Mails

Ob Ihre E-Mail nur auf dem Firmenlaptop eingerichtet ist oder Sie das Konto nicht auf dem Smartphone nutzen: fehlender Zugriff auf die Mailbox kann frustrierend sein.

Ich habe Verständnis für Nutzer*innen, die bestimmte Arbeitsabläufe haben, zwischen Geräten wechseln oder sich an Firmenrichtlinien halten müssen, die den E-Mail-Zugriff einschränken.

Wide Angle Analytics ist in erster Linie für Geschäftskund*innen gedacht. Es ist nicht dafür ausgelegt, rund um die Uhr genutzt zu werden oder dass man unentwegt aktualisiert oder scrollt. Es soll im Hintergrund Daten sammeln, Berichte und Einblicke liefern und ansonsten nicht weiter stören.

Insofern erscheint eine kurze Verzögerung wegen zeitweiligen E-Mail-Zugriffsproblemen für uns vertretbar.

Was unsere Nutzer*innen denken

Wir erleben bei Magic Links ein breites Spektrum an Feedback:

  • Eine Gruppe hat damit überhaupt kein Problem. Für sie funktionieren Magic Links einfach.
  • Eine andere Gruppe ist überrascht oder macht sich Sorgen, weil keine Passwörter verwendet werden. Bisher haben wir aber Verständnis und Akzeptanz erfahren (wobei die Grenze zwischen Akzeptanz und zähneknirschendem Hinnehmen manchmal schmal ist).
  • Und dann gibt es eine Gruppe, die den Dienst deshalb grundsätzlich nicht nutzen möchte. Diese Gruppe überschneidet sich oft mit jenen, die sich am liebsten mit einem Google-Konto anmelden.

Perspektiven

Wir agieren nicht im luftleeren Raum. Ich behaupte nicht, dass die bei Wide Angle Analytics implementierten Lösungen die besten und endgültigen sind. Wir nehmen Kritik sehr ernst und sehen durchaus deren Berechtigung.

Auch wenn wir Magic Links weiterhin für sicher, zuverlässig und sehr benutzerfreundlich halten, arbeiten wir gerade an einer Passwort-Unterstützung. Aufgrund unserer Sicherheitsbedenken werden die Nutzer*innen dann allerdings zwischen Magic Links und einem Passwort mit verpflichtender 2FA wählen müssen.

Die Sicherheit und der Schutz der Privatsphäre unserer Kund*innen und ihrer Daten bleiben ein zentraler Grundsatz unseres Geschäfts.

Looking for web analytics that do not require Cookie Banner and avoid Adblockers?
Try Wide Angle Analytics!
FREE Trial!
Jarek Rozanski
Author: Jarek Rozanski

Jarek Rozanski is the Founder of Wide Angle Analytics. After a successful career in investment banking and financial services, he decided to explore the world of start-ups and eventually start his own. Privacy, one of our basic human rights, needs strong protection according to Jarek.

Dies ist eine maschinelle Übersetzung des englischen Originalbeitrags.

© 2025 Input Objects GmbH. All Rights Reserved.