-
Single Sign-on
Einloggen mit bestehendem Konto ist ein Risiko
Keine neue Registrierung, kein neues Passwort: Viele Seiten bieten das schnelle Anmelden mit einem Konto an, das man eh schon woanders hat. Doch das ist so problematisch wie komfortabel.
15. Dezember 2022
Auf vielen Seiten im Internet können sich Nutzerinnen und Nutzer einfach mit dem Konto anmelden, das sie bei einem der großen Internetkonzerne ohnehin schon haben. Diese Komfortfunktion ist aber nicht uneigennützig. Die Konzerne könnten nach so einer Single Sign-on (SSO) genannten Anmeldung über das bestehende Konto umfassende Daten darüber sammeln, was die Nutzerin oder der Nutzer auf der jeweiligen Seite macht, warnt die Verbraucherzentrale Nordrhein-Westfalen.
Viele Daten werden gesammelt
Zudem erhielten die Konzerne oftmals Informationen aus dem öffentlichen Profil der Nutzerin oder des Nutzers. Das seien im Zweifel mehr Daten als für eine reguläre Registrierung erforderlich gewesen wären. Aus all diesen Informationen könnten umfassende persönliche Profile gebildet werden, etwa zu Werbezwecken.
Doch damit nicht genug. Sollte das Passwort zu dem Konto, das man für SSO-Anmeldungen nutzt, in fremde Hände gelangen, hat man ein Problem. Dann haben Dritte nicht nur Zugang zu dem Konto bei dem jeweiligen Internetkonzern, sondern auch zu allen Seiten, bei denen man die Anmeldung per SSO über dieses Konto nutzt.
Wenn der Generalschlüssel abhandenkommt
Hinzu kommt, dass Angreifer gezielt auf die Jagd nach Konten gingen, die als Generalschlüssel genutzt werden. Ein Beispiel der Verbraucherschützerinnen: Anfang Oktober habe Facebook darüber informiert, dass Kriminelle mit Hilfe Hunderter Apps die Login-Daten von Facebook-Nutzerinnen und -nutzern gestohlen hätten. Die Apps hätten die vermeintliche SSO-Option „Login mit Facebook“ angezeigt. Die Opfer fütterten dann aber Phishing-Formulare, die die Anmeldedaten direkt weiterleiteten, so dass die Kriminellen die betroffenen Facebook-Konten übernehmen konnten.
Es kann auch passieren, dass Internetseiten oder Dienste, bei denen man sich per SSO anmeldet, quasi im Gegenzug teils weitreichende Rechte innerhalb des SSO-Kontos einfordern. Im Zweifel bekommt man davon nichts mit, was beispielsweise zu ungewollten Likes oder Posts führen kann, erklären die Verbraucherschützer. Solche Rechte werden aber bei der Einrichtung eines SSO-Log-ins aufgelistet.
Rechte wegklicken oder gar nicht nutzen
Wenn man SSO trotzdem nutzen möchte, sei es hier wichtig, jeden Punkt zu lesen und die Häkchen bei den einzelnen Rechten wegzuklicken. Ist das bei Rechten, die man nicht gewähren möchte, nicht möglich, bleibt einem nur, SSO für die jeweilige Seite nicht zu nutzen und die Einrichtung abzubrechen. Wer möglichst wenig persönliche Daten weitergeben möchte, sollte SSO nicht nutzen, rät die Verbraucherzentrale. Wer auf den Komfort nicht verzichten möchte, sollte das SSO-Konto besonders gut absichern. Dazu gehörten ein starkes Passwort, das für kein anderes Konto genutzt wird, und idealerweise auch eine aktive Zwei-Faktor-Authentifizierung.
Foto: Catherine Waibel/dpa-tmn