Wo bleibt der Siegeszug von Social Login?
27.10.2017 – Martin Burkhart
Fachartikel für channelpartner.de vom 27. Oktober 2017
Social Logins erlauben es Nutzern, sich über soziale Netzwerke wie Facebook auch bei anderen Diensten anzumelden – eine komfortable Alternative zu klassischen Anmeldeformularen. Bisher nutzen jedoch nur wenige Anwender Social Logins – woran liegt das?
Die Zeiten, als die PIN der Bankkarte der einzige Code war, den es zu merken galt, sind noch nicht lange her. Im Zeitalter der Digitalisierung schlägt sich der durchschnittliche Bürger mit Dutzenden von Passwörtern herum, sei es für Online-Banking, die Krankenkasse, Facebook, diverse Email-Konten und Webshops, das Zugticket, den Fernseher oder gar den Kühlschrank.
Natürlich weiß er theoretisch auch, wie mit Passwörtern korrekt umzugehen wäre: lange Zeichenketten erstellen, nicht dasselbe Passwort für verschiedene Konten nutzen, Kennwörter regelmäßig wechseln und möglichst kryptische Sonderzeichen verwenden. Spezielle Passwort-Manager bieten hierfür ihre Dienste an. Damit verstoßen sie allerdings gegen ein weiteres Grundgesetz, das verbietet, seine Passwörter aufzuschreiben. Immerhin sind sie dann mit einem weiteren Passwort geschützt.
Wäre es nicht schön, wenn ein einziges Passwort für den gesamten Internetzugriff gültig wäre? Da wäre die notwendige Passworthygiene kein Problem mehr. Hinter dem Begriff „Social Login“ versteckt sich die Idee, Plattformen wie Facebook oder Google als zentrale Identitätsdrehscheiben im Internet zu verwenden.
Applikationen, die an der Identität des Benutzers interessiert sind, können den Benutzer sich bei Facebook einloggen lassen und das bestehende Facebook-Profil als Basis für die Interaktion verwenden. Damit lässt sich ein Internet Single Sign-on realisieren und der Passwortdschungel auf ein überschaubares Ausmaß reduzieren.
Die Technologien dahinter heißen OAuth 2.0 und OpenID Connect. Sie realisieren nicht nur Social Login, sondern können generell Services autorisieren, im eigenen Namen auf Inhalte zuzugreifen, die auf anderen Servern gespeichert sind. Ein einfaches Beispiel ist die Kontaktplattform „LinkedIn“, welche mittels OAuth auf die Kontaktliste im Google-Account des Benutzers zugreifen kann, ohne dafür das Passwort zum Google Account wissen zu müssen.
OAuth 2.0 definiert verschiedene Entitäten wie Clients, Resource Owners, den Authorization Server, Resource Server und User-Agents. Ein Client ist eine Applikation, die auf eine geschützte Ressource auf dem Resource Server zugreifen möchte. Bei dem Beispiel LinkedIn greift die Plattform auf die geschützte Ressource «Kontaktliste bei Google» lesend zu.
Der Benutzer ist der Resource Owner und entscheidet, welche Clients in welchem Ausmaß auf seine Ressourcen zugreifen dürfen. Der Authorization Server übernimmt die Authentifizierung der Clients und stellt, basierend auf der Freigabe des Resource Owners, Access Tokens aus, die für den Zugriff auf geschützte Ressourcen berechtigen.
Ein Access Token wird vom Client beim Authorization Server bezogen und muss beim Zugriff auf die Ressource vorgewiesen werden. Die Tokens können mit kurzer Gültigkeitsdauer versehen werden, damit sie regelmäßig beim Authorization Server erneuert werden müssen. Dies erlaubt es dem Resource Owner, erteilte Berechtigungen wieder zu entziehen, beziehungsweise nicht mehr zu erneuern. Der User-Agent schließlich ist das Programm, über das auf den Authorization Server zugegriffen wird, typischerweise ein Browser oder eine Smartphone-App.
Datenschutz und kommerzielle Interessen
Tatsächlich nutzen immer mehr Login-Masken die Option, sich mit einem externen Konto anzumelden. Dominant sind dabei vor allem die amerikanischen Plattformen Facebook und Google. Laut einer Studie der Customer-Identity-Management-Plattform LoginRadius ziehen 93 Prozent der Konsumenten Social Login einer traditionellen Registrierung per E-Mail vor. Die Bereitschaft der Website-Betreiber Social Login anzubieten variiert allerdings stark, je nach Art der Dienstleistung. Gerade wenn es um finanzielle Dienstleistungen geht – also bei Banken oder Versicherungen – sind die entsprechenden Anmeldeoptionen spärlich gesät. Woran liegt das?
Ein wichtiger Aspekt ist der Datenschutz. Der Benutzer willigt ein, dass das soziale Netzwerk beim Login Profilinformationen an den Anbieter übermittelt. So weit so gut. Allerdings erhält das Social Network im Gegenzug auch wertvolle Informationen über die Kundenbeziehungen und die Nutzung (Zeiten, Häufigkeit) eines Online-Dienstes.
Gerade in regulierten Branchen wie der Finanzindustrie ist dies inakzeptabel. In vielen Ländern, wie zum Beispiel der Schweiz, schützt das Bankkundengeheimnis die ökonomische Privatsphäre des Kunden. Das geht soweit, dass Banken in der Korrespondenz mit ihren Kunden neutrale Briefumschläge einsetzen, um die Geschäftsbeziehung nicht offenzulegen. Zudem müssen die Bank und der Kunde damit rechnen, dass ein Social Network die Login-Informationen kommerziell ausschlachtet. Mittels Social Login würden Banken das Business-Modell von globalen Internetgiganten direkt in ihre Kundenbeziehung einweben. Einige dieser Giganten hegen gar Ambitionen im digitalen Zahlungsmarkt und sind damit direkte Konkurrenten.
Des Weiteren sind Banken verpflichtet, die Identität ihrer Benutzer genau zu überprüfen. Der „Know your Customer“ (KYC)-Prozess stellt sicher, dass Banken nicht für Geldwäsche missbraucht werden. Dazu gehören die Überprüfung von Ausweisdokumenten und eine Risikobeurteilung von Personen bezüglich Betrugsverhalten. Obwohl beispielsweise Facebook eine Klarnamenspflicht in den AGB festhält und diese auch teilweise durchzusetzen versucht, reicht die Qualität der gelieferten Identitäten nicht für vertragliche Beziehungen. Reine Online-Shops können diese Probleme umgehen, indem sie Bestellungen per Vorkasse oder Kreditkartenbelastungen abrechnen. Die Überprüfung der Identität wird bei Kreditkarten an den Kartenaussteller ausgelagert.
Das beste beider Welten
Social Logins und die Finanzbranche – eine Liebesbeziehung klingt anders. Dennoch bleibt der Wunsch der Benutzer nach Einfachheit und Überschaubarkeit ihrer Online-Konten bestehen. Auch die Marketing-Abteilungen sind daran interessiert, zu jedem Website-Benutzer möglichst schnell ein Profil zu erhalten und mit ihm in eine Beziehung zu treten.
Eine Möglichkeit wäre, den Benutzer bei einem ersten Flirt mittels einer Social Identity zu registrieren und später dann, wenn es zur Hochzeit kommt, eine solidere Identität zu verwenden. Bei der Eröffnung eines Online-Accounts für einen Börsenticker oder für die Teilnahme an einem Wettbewerb reicht ein Social Login allemal aus.
Die initiale Hürde ist damit für den Benutzer klein und die Einfachheit gegeben. Wenn aus dem flüchtigen Benutzer ein Kunde mit einem Vertrag werden soll, muss er das Onboarding durchlaufen und erhält eine interne, belastbare und vertragstaugliche Identität. Wenn es die Bank schafft, diese beiden Accounts nahtlos zu verschmelzen, ergibt sich eine Win-Win-Situation.
Abschließend stellt sich die Frage, wie sich Social Login mit starker Authentifizierung verträgt. Theoretisch ist es denkbar, die Passwortüberprüfung Facebook zu überlassen und für Zugriff auf kritische Daten als Anbieter einen zweiten Faktor selbst zu prüfen und zu verwalten. Der Aufwand für diese zweigleise Strategie ist allerdings nicht zu unterschätzen. Sollen sich etwa Helpdesk-Mitarbeiter im Sinne eines ganzheitlichen Kundenservices um Login-Probleme bei Facebook kümmern?
Vermutlich entscheiden sich die meisten Dienstleister bei qualifizierten Kundenbeziehungen, den unliebsamen Drittanbieter gleich ganz loszuwerden und auch das Passwort wieder zu sich zu nehmen. Social Login hätte dann zumindest den Zweck als Beziehungsanbahner erfüllt. Die zugrundeliegenden Technologien OAuth 2.0 und OpenID Connect haben unabhängig von Social Login ihre Berechtigung, beispielsweise beim Schutz von APIs, und werden die Unternehmens-IT mittelfristig revolutionieren.
Dr. Martin Burkhart, Produktmanager Airlock Suite, Ergon Informatik AG