Der Wunsch ist schnell und klar formuliert: Nutzer möchten sich nicht durch ellenlange Registrierungsformulare quälen, sondern so schnell wie möglich "rein". Und da sowieso alle entweder bei Facebook (fast alle), Google (sehr viele) oder Twitter (einige) sind, liegt es nahe, diese Dienste auch für die Registrierung und den Login für die eigene Website oder App anzubieten. Schließlich hat man kein Interesse daran, dass jemand das eigene Angebot gar nicht erst ausprobiert, weil er schon vor der Registrierung kapituliert.
Der ideale Registrierungsprozess, wie alles Nachfolgende am Beispiel Facebooks, sieht also wie folgt aus:
- Der Nutzer loggt sich bei Facebook unter Angabe seiner E-Mail-Adresse und seines Passworts ein.
- Facebook fragt ihn, ob er der eigenen Anwendung vertraut und bestimmte Daten anvertrauen möchte. Er bejaht es.
- Anschließend leitet Facebook den Nutzer zur eigenen Anwendung weiter und der Nutzer ist eingeloggt und kann loslegen.
Das ist durchaus möglich, abhängig davon, wie viele Daten man vom Authentifizierungsanbieter erhält oder selbst benötigt. Twitter beispielsweise gibt grundsätzlich keine E-Mail-Adressen heraus, auch Angaben zum Geschlecht des Nutzers sind mangels von Twitter selbst erhobener Daten nicht möglich.
Davon abgesehen birgt dieser ideale Weg jedoch ein echtes Problem in sich: die vollkommene Abhängigkeit von (am Beispiel) Facebook. Ein Seiteneffekt, der für kleinere Projekte vielleicht einkalkuliert werden kann, weil die Wahrscheinlichkeit eines Problems gering ist. Welche Probleme können auftreten?
- Der Nutzer kündigt seinen Facebook-Account. Das ist, als ob ein Hausmeister seinen Generalschlüssel wegwirft - er kommt anschließend nirgendwo mehr rein.
- Facebook ändert seine Lizenzbestimmungen oder kündigt gar die Zusammenarbeit mit "unserer Anwendung" auf. Kam alles schon vor.
Was ist also das Ziel des Anbieters, und letztlich auch des Nutzers?
- Nutzer können sich weiterhin einloggen, wenn sie ihren Account bei Facebook gelöscht haben.
- Nutzer können sich weiterhin einloggen, wenn der Facebook-Login, aus welchen Gründen auch immer, nicht mehr funktioniert.
Wie lässt sich das erreichen? Nur, in dem parallel eine weitere Login-Möglichkeit geschaffen wird. Hierfür benötigt man die E-Mail-Adresse und ein Passwort. In der Praxis sähe der Registrierungsvorgang dann so aus:
- Der Nutzer loggt sich bei Facebook unter Angabe seiner E-Mail-Adresse und seines Passworts ein.
- Facebook fragt ihn, ob er der eigenen Anwendung vertraut und bestimmte Daten anvertrauen möchte. Er bejaht es.
- Anschließend leitet Facebook den Nutzer zur eigenen Anwendung weiter, wo ihm ein Registrierungsformular angezeigt wird.
- Hier sind dann je nach Anbieter mehr oder weniger Daten ausgefüllt (FB: Vorname, Nachname, E-Mail, Profilbild; Twitter: Profilbild).
- Der Nutzer gibt noch sein eigenes Passwort ein und schließt die Registrierung ab.
Das ist Mist. Denn der Nutzer wird sich fragen, "Warum muss ich nun noch mal mein Kennwort eingeben? Das habe ich doch gerade bei Facebook schon getan? Was machen die damit?". Und selbst wenn er hier noch nicht stutzig wird, kommt das dicke Ende dann zum Schluss. Nämlich dann, wenn der Worstcase eintritt und der Login via Facebook nicht mehr funktioniert. Dann fragt er sich, vielleicht zwei oder drei Jahre nach der Registrierung "Wie war noch mal meine E-Mail-Adresse, die ich vor 5 Jahren bei euch eingegeben habe? Und wie war mein Passwort?".
Ergo: Das eigentliche Ziel, die Registrierung zu verkürzen und damit deutlich bequemer zu machen lässt sich so nicht erreichen. Hier gibt es zwei widerstrebende Interessen vom Nutzer, der es gerne bequem hat, und uns, die gerne unabhängig sind.
Ergebnis: den eigenen Registrierungsprozess so kurz und angenehm wie möglich gestalten und auf Drittanbieter verzichten.