Forum>Entwickler>Warum werden plötzlich E-Mail und Passwort bei logins getrennt abgefragt?

Warum werden plötzlich E-Mail und Passwort bei logins getrennt abgefragt?

alli
alli05.12.1800:07
Hallo zusammen,

ich habe eine frage an das Universum: Warum werden plötzlich E-Mail und Passwort bei logins getrennt abgefragt?
Was ich damit meine, früher (in der guten alten Zeit ) hatte man beim login zwei Felder "E-Mail/Benutzername" und "Passwort". Unterdessen gibt es echt viele Seiten die erst einmal "E-Mail/Benutzername" abfragen und erst nach einem klick auf "Weiter" kann man sein Passwort eingeben. Kann mir jemand erklären warum das gemacht wird? Was ist der Vorteil es zu trennen anstatt in einer Maske zu haben?

Beispiele: https://login.microsoftonline.com

Vielen dank liebes Universum
0

Kommentare

beanchen05.12.1807:25
Es wird erst einmal geprüft, ob die E-Mail / Benutzername gültig ist.
-4
Weia05.12.1807:42
beanchen
Es wird erst einmal geprüft, ob die E-Mail / Benutzername gültig ist.
Naja, das ist zwangsläufig immer so – wie willst Du prüfen, ob das Passwort zum Nutzer passt, wenn es den gar nicht gibt?

Aber deshalb müsste man ja nicht darauf verzichten, bereits auf der ersten Seite auch das Passwort-Textfeld anzuzeigen. Dass das Passwort dann gleich mitgesendet wird, ist bei verschlüsselter Übertragung ja egal.

Der Grund ist wohl, dass damit das automatische Ausfüllen von Nutzername und Passwort verhindert werden soll. Was vermeintlich die Sicherheit erhöht und Server-Überlastung verhindern soll, ist für den Nutzer leider ein ausgesprochenes Ärgernis, ähnlich diesen blöden reCaptchas.
+1
beanchen05.12.1808:01
Bei einer Seite, die beide Werte abfragt, kannst Du auch beide Werte in unzähligen Kombinationen dort hin senden (ja, mir ist bekannt, dass es auch da gegen serverseitig Maßnahmen gibt).
Automatische Ausfüllen klappt bei mir übrigens wunderbar.
0
Weia05.12.1808:26
beanchen
Bei einer Seite, die beide Werte abfragt, kannst Du auch beide Werte in unzähligen Kombinationen dort hin senden
Naja, das könntest Du/der Bot so auch – nur dass es halt de facto unzählige Male bei der Übertragung des immer selben (falschen) Nutzernamens bleibt und nie zur Übertragung eines Passwortes kommt.
Automatische Ausfüllen klappt bei mir übrigens wunderbar.
Mit welchem Browser/Programm?
0
ronny332
ronny33205.12.1808:47
Automatisches ausfüllen stellt auch technisch keinen Unterschied dar, wenn das Eingabefeld von Beginn an da ist (nur ausgeblendet, auf "Null" Höhe gesetzt, oder aus dem sichtbaren Bereich verschoben wurde).

Mir persönlich nerven diese Abfragen massiv (unsinniges Rumgeklicke und warten bei der Navigation). Neben den von mir aus vorhandenen Sicherheitssteigerungen steht aber irgendwo auch das Minimalismus Design im Vordergrund, bei welchem du riesige Screens hast, wo in der Mitte ein Feld ist, an dem nicht mal mehr eine Erklärung steht. Nicht meine Welt, aber das sieht besagte Welt wohl anders.

Vor 25 Jahren hätte man sich die Finger nach bei jedem vorhanden Auflösungen von > 1024px die Finger geleckt, heute "füllen" wir sie mit Leere ...
0
Weia05.12.1809:14
ronny332
Automatisches ausfüllen stellt auch technisch keinen Unterschied dar, wenn das Eingabefeld von Beginn an da ist
Ja, aber ich meinte die Fälle, wo für die Passworteingabe wirklich eine neue URL aufgerufen wird.
0
beanchen05.12.1811:10
Weia
Mit welchem Browser/Programm?
Safari / 1Password
0
beanchen05.12.1811:16
Weia
Naja, das könntest Du/der Bot so auch – nur dass es halt de facto unzählige Male bei der Übertragung des immer selben (falschen) Nutzernamens bleibt und nie zur Übertragung eines Passwortes kommt.
Die Eingangsfrage war ja auch nicht ob das technisch sinnvoll ist und / oder ob das nicht schön längst umgangen werden kann und damit überholt, sondern warum überhaupt jemand auf die Idee kommt das so zu gestalten.
Gleiches gilt übrigens auch für das von Dir bemängelte reCaptcha. Ursprünglich entworfen um Bots auszuschließen nervt es heute nur noch und hilft kaum noch. Deswegen wäre die ursprüngliche Antwort heute trotzdem nicht falsch.
0
iMackerer05.12.1811:46
Hier werden ein paar ganz nachvollziehbare Erklärungsansätze geliefert:

https://security.stackexchange.com/questions/85160/is-having -the-username-and-password-fields-on-different-pages-more-se cure
0
Weia05.12.1812:29
beanchen
Weia
Mit welchem Browser/Programm?
Safari / 1Password
Ah, OK. 1Password = Abo = No-Go.

Ich sehe auch nicht ein, zusätzliche Software für etwas zu verwenden, was von Haus aus (= Safari allein & Schlüsselbund) gehen sollte.
iMackerer
Hier werden ein paar ganz nachvollziehbare Erklärungsansätze geliefert:
Naja, nachvollziehbar vielleicht, aber ganz sicher nichts derart Wichtiges, dass ich akzeptieren könnte, wenn es mir als Nutzer das Leben schwerer macht.
0
nova.b05.12.1812:50
Bai der Ausgangsfrage war der Login von Microsoft als Beispiel angegeben.
Wenn ich darauf gehe, meine Mailadresse eingebe, dann kann ich doch mit dem Schlüssel
das Passwort sofort automatisch ausfüllen. Das ist doch viel schneller als früher?
0
beanchen05.12.1812:51
Weia
Naja, nachvollziehbar vielleicht, aber ganz sicher nichts derart Wichtiges, dass ich akzeptieren könnte, wenn es mir als Nutzer das Leben schwerer macht.
🤦‍♀️
0
Jörg H.05.12.1812:53
[/quote]
Naja, nachvollziehbar vielleicht, aber ganz sicher nichts derart Wichtiges, dass ich akzeptieren könnte, wenn es mir als Nutzer das Leben schwerer macht.
[/quote]

Das ist doch Quatsch.

Es geht darum Logins sicherer zu machen und genau das ist sehr wichtig. Wenn man sich Serverlogfiles ansieht, dann ist das schon bei unbedeutenden Seiten oft erschreckend wie häufig da versucht wird einzubrechen. Und genau mit einem solchen Verfahren kann man die automatisierten Versuche ziemlich eindämmen.
0
piik
piik05.12.1813:51
Jörg H.
Naja, nachvollziehbar vielleicht, aber ganz sicher nichts derart Wichtiges, dass ich akzeptieren könnte, wenn es mir als Nutzer das Leben schwerer macht.

Das ist doch Quatsch.

Es geht darum Logins sicherer zu machen und genau das ist sehr wichtig. Wenn man sich Serverlogfiles ansieht, dann ist das schon bei unbedeutenden Seiten oft erschreckend wie häufig da versucht wird einzubrechen. Und genau mit einem solchen Verfahren kann man die automatisierten Versuche ziemlich eindämmen.
Das ist kein Quatsch. Es ist die Frage, warum das mehr Sicherheit bieten sollte.
Mmn. ganz im Gegenteil. So kann man brute force erst mal den Account-Namen ermitteln und weiß dann irgendwann schon mal sicher, dass es den gibt, da solche Namen mit Sicherheit nicht nach den selben Kriterien erstellt werden wie Passwörter. Oft sind es schlicht Mail-Adressen.
Hinzu kommt, dass mit reinen Sammlungen von Mail-Adressen eine ziemlich hohe Wahrscheinlichkeit besteht, gültige Accounts zu finden. Man kann so ziemlich simpel Adressenlisten verifizieren, was ganz sicher ein enormer Sicherheitsverlust ist.
Das ist mit Anlauf ins Knie der Kunden geschossen. Eine miserable Idee folglich.
„Computer sind selten schlecht drauf - Software macht schon häufiger Mucken...“
0
Jörg H.05.12.1814:06
Es ist nicht Sinn des Verfahrens im ersten Schritt den Usernamen oder ähnliches zu überprüfen, es ist Sinn eine Zeitverzögerung zu erzeugen und gegebenenfalls den Sicherheits-Token auszutauschen.

Es geht technisch darum, dass ein Bot nicht einfach nur schreibend auf eine Seite zugreifen kann, sondern, dass er mit der Seite interagieren können muss. Er muss nämlich warten können, die neue Seite wieder auswerten und dann wieder Daten übertragen können.
0
piik
piik05.12.1814:39
Jörg H.
Es ist nicht Sinn des Verfahrens im ersten Schritt den Usernamen oder ähnliches zu überprüfen, es ist Sinn eine Zeitverzögerung zu erzeugen und gegebenenfalls den Sicherheits-Token auszutauschen.
Das interessiert nicht. Es wird gemacht. Wenn es um Zeitverzögerung ginge, würde es auch mit Pause bei einem 2. Login-Versuch bei gleicher IP funktionieren.
Bots kann man fast beliebig komplex programmieren. Also kein Hindernis, nur Ärger.
„Computer sind selten schlecht drauf - Software macht schon häufiger Mucken...“
0
xcomma05.12.1814:48
Hier zumindest mal die Begründung von und für Google:
Google
  • Preparation for future authentication solutions that complement passwords
  • Reduced confusion among people who have multiple Google accounts
  • A better experience for SAML SSO users, such as university students or corporate users that sign in with a different identity provider than Google
Quellen:



Kurz: aus UX Sicht als auch aus (internen) technischen Gründen (Integration etc.).
0

Kommentieren

Sie müssen sich einloggen, um sich an einer Diskussion beteiligen zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen