Weshalb nutzen so viele Login-Systeme die E-Mail-Adresse zur Verifizierung?

Jedes Mal, wenn man irgendwo im Internet einen Account erstellt, muss man als erstes seine E-Mail-Adresse angeben. Weshalb eigentlich? Warum hat man sich darauf geeinigt, dass die Verifizierung per E-Mail die Standardlösung für ein Login ist? Und was hat das mit User Experience und Security zu tun? In diesem Artikel versuche ich diesen Fragen auf den Grund zu gehen.

Vorteile der Verifizierung über die E-Mail-Adresse

Der grösste Vorteil der Verifizierung über E-Mail könnte die „Passwort vergessen“-Funktion sein. Das wäre naheliegend und kommt zumindest mir als erstes in den Sinn. Denn ein vergessenes Passwort mit wenigen Klicks und einer E-Mail zurückzusetzen, ist nicht nur bequem und schnell, sondern auch sicher. Tatsächlich gibt es aber noch weitere wichtige Gründe, weshalb so häufig auf E-Mail gesetzt wird.

Die Allgegenwärtigkeit von E-Mail

Fast jeder hat eine Mailadresse. Und wenn jemand keine Mailadresse besitzt, gibt es viele Möglichkeiten, schnell und einfach eine zu erstellen. Es gibt verschiedenste Bezahl- und Gratisanbieter von E-Mail-Services.

E-Mail ist ein föderierter und offener Standard

Es gibt bei E-Mail keine zentrale Kontrolle. E-Mail ist ein Markplatz, wo jeder seinen E-Mail Anbieter frei auswählen kann. Du vertraust deinem E-Mail-Anbieter nicht mehr? Du kannst jederzeit zu einem anderen Anbieter wechseln. Oder du registrierst gleich eine eigene Domain und nutzt dort dann beispielsweise Microsoft 365 für deine E-Mails. Oder direkt über eine Hosting-Firma dein eigenes Mailsystem einrichten.

E-Mail lässt sich wunderbar für das Marketing nutzen

E-Mail-Marketing ist ein sehr effizientes und kostengünstiges Marketinginstrument. Anders als bei SMS oder Telefonanrufen ist die Zielgruppe sich auch gewohnt, Werbe-E-Mails oder E-Mail-Newsletter zu erhalten. Hat man die E-Mail-Adresse eines Kunden erhalten, kann man diesen persönlich ansprechen. Natürlich unter der Voraussetzung, man hat die entsprechende Erlaubnis dazu.

Nachteile der Verifizierung über die E-Mail-Adresse

Kein System ist perfekt. Auch E-Mail hat seine Nachteile. So wurde E-Mail nicht mit Fokus auf Privatsphäre oder Sicherheit erfunden. E-Mail wird manchmal auch E-Post genannt und der Vergleich zu einem Brief ist naheliegend. Ein Brief ist aber geschlossen und somit privat. Eine E-Mail ist in dem Sinne eher eine Postkarte, wo die Informationen offen liegen. Ein grosser Unterschied zu einer Postkarte verschärft das Problem nochmals. Während eine Postkarte nur an einem Ort auf der Welt existiert und man sich dorthin bewegen muss, um sie zu lesen, kann eine E-Mail an dutzend Orten gleichzeitig existieren und Distanz ist im Internet auch kein Problem. Deshalb gilt E-Mail als unsicherer Kommunikationskanal und ist für vertrauliche Daten weniger geeignet.

Kleiner Exkurs in eigener Sache:
Genau weil E-Mail nicht perfekt sicher ist, vermeiden wir das Versenden von Passwörtern per E-Mail. Bei unserem regelmässigen, monatlichen Security Update von WordPress-Websites ändern wir aus Sicherheitsgründen die Passwörter aller Admins ihrer WordPress Installation. Wenn wir diese nun per E-Mail versenden würden, wäre die Aktion sinnlos. Deshalb erhalten sie einen mit Passwort geschützten Download Link zum neuen Passwort. Wie sie das Passwort erhalten? Gut mitgedacht. Das Passwort für den Download versenden wir in der Regel einmalig per Brief.

Aber was ist mit verschlüsselten E-Mails? Eine gute Frage. Verschlüsselte E-Mails lösen dieses Problem. Die Sache ist nur, dass nur sehr wenige Leute diese Option nutzen und es bisher für den Durchschnittsbenutzer zumindest gefühlt einfach zu kompliziert ist.

Was gibt es für Alternativen zu E-Mail?

Um die Identität des Benutzer zu verifizieren, braucht es neben Benutzername und Passwort einen zweiten Kanal. Ansonsten ist der Zugang bei Verlust des Passworts verloren und kann nur über einen Admin wiederhergestellt werden.

Weitere Optionen:

Single Sign-on

Bei Single Sign-on (SSO) muss der Benutzer sich nur einmal anmelden. Solange er bei der Plattform (Facebook, Google, Microsoft) angemeldet ist, kümmert sich diese um die Anmeldung. Der SSO-Anbieter garantiert beispielsweise WordPress, dass der Benutzer echt und sein Zugriff legitim ist. Der Nachteil dieser Lösung ist die Abhängigkeit vom SSO-Anbieter. Zudem gibt es kein Anbieter, der eine gleich grosse Verbreitung wie E-Mail hat.

Telefonnummer

Eine Verifizierung mit automatischen Anrufen funktioniert ebenfalls sehr gut. Diese Methode ist aber teurer im Einsatz und wird darum nur von grossen Anbietern genutzt. Zudem sind auch die Kosten für den Nutzer etwas höher, da er eine Telefonnummer braucht.

Handynummer

Die SMS Verifizierung setzt sich immer mehr durch. Grund dafür ist, das immer mehr Personen ein Handy haben und die Kosten für SMS nicht so hoch sind. Trotzdem ist E-Mail immer noch günstiger. Das Registrieren einer neuen Handynummer oder sogar das Wechseln der Handynummer ist mit mehr Aufwand verbunden als das Wechseln der E-Mail-Adresse.

Briefpost

Die Briefpost ist langsam und teurer. Aber sicher und ohne Kosten für den Benutzer. Häufig wird die Briefpost für eine einmalige Verifizierung verwendet. Danach ist das Vertrauen in einen anderen schnelleren und bequemeren Kanal wie E-Mail oder Handynummer hergestellt.

Fazit: E-Mail-Adresse zur Verifizierung

Optimale Sicherheit ist die richtige Balance zwischen Usability, Einsatzfähigkeit und Kosten für das Mass erreichter Sicherheit. Möchte man mehr Sicherheit, wird es teurer und aufwändiger. Möchte man weniger Kosten, wird es weniger sicher. Die Lösung mit der Verifizierung per E-Mail ist sehr preiswert und sicher genug für die allermeisten Anwendungsfälle. Wer mehr Sicherheit benötigt, hat mit SSO oder einer Multifaktorauthentifizierung gute Alternativen zur Verfügung.