Thomas Bandt

Über mich | Kontakt | Archiv

Die Krux mit der Authentifizierung über Drittanbieter (Facebook, Twitter, Google etc.)

Der Wunsch ist schnell und klar formuliert: Nutzer möchten sich nicht durch ellenlange Registrierungsformulare quälen, sondern so schnell wie möglich "rein". Und da sowieso alle entweder bei Facebook (fast alle), Google (sehr viele) oder Twitter (einige) sind, liegt es nahe, diese Dienste auch für die Registrierung und den Login für die eigene Website oder App anzubieten. Schließlich hat man kein Interesse daran, dass jemand das eigene Angebot gar nicht erst ausprobiert, weil er schon vor der Registrierung kapituliert.

Der ideale Registrierungsprozess, wie alles Nachfolgende am Beispiel Facebooks, sieht also wie folgt aus:

Das ist durchaus möglich, abhängig davon, wie viele Daten man vom Authentifizierungsanbieter erhält oder selbst benötigt. Twitter beispielsweise gibt grundsätzlich keine E-Mail-Adressen heraus, auch Angaben zum Geschlecht des Nutzers sind mangels von Twitter selbst erhobener Daten nicht möglich.

Davon abgesehen birgt dieser ideale Weg jedoch ein echtes Problem in sich: die vollkommene Abhängigkeit von (am Beispiel) Facebook. Ein Seiteneffekt, der für kleinere Projekte vielleicht einkalkuliert werden kann, weil die Wahrscheinlichkeit eines Problems gering ist. Welche Probleme können auftreten?

Was ist also das Ziel des Anbieters, und letztlich auch des Nutzers?

Wie lässt sich das erreichen? Nur, in dem parallel eine weitere Login-Möglichkeit geschaffen wird. Hierfür benötigt man die E-Mail-Adresse und ein Passwort. In der Praxis sähe der Registrierungsvorgang dann so aus:

Das ist Mist. Denn der Nutzer wird sich fragen, "Warum muss ich nun noch mal mein Kennwort eingeben? Das habe ich doch gerade bei Facebook schon getan? Was machen die damit?". Und selbst wenn er hier noch nicht stutzig wird, kommt das dicke Ende dann zum Schluss. Nämlich dann, wenn der Worstcase eintritt und der Login via Facebook nicht mehr funktioniert. Dann fragt er sich, vielleicht zwei oder drei Jahre nach der Registrierung "Wie war noch mal meine E-Mail-Adresse, die ich vor 5 Jahren bei euch eingegeben habe? Und wie war mein Passwort?".

Ergo: Das eigentliche Ziel, die Registrierung zu verkürzen und damit deutlich bequemer zu machen lässt sich so nicht erreichen. Hier gibt es zwei widerstrebende Interessen vom Nutzer, der es gerne bequem hat, und uns, die gerne unabhängig sind.

Ergebnis: den eigenen Registrierungsprozess so kurz und angenehm wie möglich gestalten und auf Drittanbieter verzichten.

Kommentare

  1. Jan schrieb am Freitag, 7. Juni 2013 22:01:00 Uhr:

    Grundsätzlich absolut richtig. Allerdings gibt es noch einen weiteren Weg:

    > Hi Jan,
    >
    > Your Facebook data has been removed from Appsfire.com.
    >
    > In order to login again, you must use your email and password.
    > Here is your temporary password : ############
    >
    > We recommend that you visit the Settings page to set a new, more
    > memorable password after logging in.
    >
    > Thanks,
    >
    > The Appsfire team

    Diese E-Mail bekam ich nachdem ich die App bei Facebook gelöscht hatte. Vielleicht klappt das auch mit Accountlöschung und ähnlichem, da kenne ich mich nicht gut genug mit Facebook aus.

    Was allerdings fehlte war nochmal die Angabe der Login-Mailadresse, Catchall oder +foo bei Gmail sorgen ja auch dafür, dass das nicht immer ganz klar ist.

  2. Robert Mühsig schrieb am Freitag, 7. Juni 2013 23:10:00 Uhr:

    Die Sorgen bei Social Id Providern kann ich absolut nachvollziehen. Die (aus jetziger Sicht) eleganteste Variante die ich jetzt immer fahre ist eine zwei-Teilung aus Nutzdaten und auf der anderen Seite Identitätsdaten. Ein User X meldet sich initial mit Facebook an und könnte hinterher in den Einstellungen z.B. ein eigenes PW angeben oder den Account mit Twitter verbinden. Im Falle der User löscht sein FB-Acc oder der FB-Login geht nicht mehr hätte man noch die alte Email/PW Variante.
    Beim Registrieren könnte man eine simple Auswahl an ID-Providern anbieten (Email/PW, Facebook, Twitter oder Google).
    Beachten sollte man natürlich noch ob es nur um eine pure Authentifizierung gehen soll oder ob die Anwendung auf dessen Facebook-Timeline Einträge erzeugen soll. Je mehr Kombinationen es werden (Anmeldung per PW und Social Networks + Zugriff auf diese bzw. Aktionen auf den Plattformen ausführen) desto höher die Wartungs- und Entwicklungszeit.

  3. Thomas schrieb am Freitag, 7. Juni 2013 23:15:00 Uhr:

    @Jan: Klar, die Option besteht, wenn man die (echte) E-Mail-Adresse vom Nutzer abgreifen kann. Für Twitter müsste man die bei der Registrierung noch mal separat abfragen. Und im absoluten Worstcase, also wenn einer der Anbieter dicht macht oder den Zugang sperrt, beträfe das dann alle eigenen User. Das Theater will ich mir besser nicht vorstellen.

    Schauen wir mal, wie weit wir mit dem Verzicht kommen werden ...

  4. Jan schrieb am Samstag, 8. Juni 2013 00:10:00 Uhr:

    @Thomas: Theater ist es auf jeden Fall.

    Nur sehe ich eben bei mir selbst, als Nutzer, wie cool es ist einfach mit einem Klick (bzw. 2, Freigabe ja noch) den Registrierungsprozess abschließen zu können. Vor allem wenn mit den freigegebenen Daten dann auch noch was sinnvolles gemacht wird.

    Und wenn dann wie bei Appsfire sogar noch ein Edge-Case gut abgefangen wird, oder man Accounts stressfrei kombinieren kann wenn man sich statt mit dem Twitter- aus Versehen mal mit dem Facebook-Account eingeloggt hat - dann habe ich auch irgendwie Respekt für die Entwickler und freue mich über ihre Arbeit.

    Mozilla Persona könnte vielleicht ein Ausweg sein:
    http://sloblog.io/~hmans/AjWTu_QBh2I/mozilla-persona-beta-2
    Hendrik beschäftigt sich bei sloblog.io ziemlich mit dem thema und hat ein paar schlaue Sachen dazu geschrieben:
    http://sloblog.io/+dev/DPnJIOPyWjM/the-inconvenient-complexity-of-social-logins

  5. Thomas schrieb am Samstag, 8. Juni 2013 02:28:00 Uhr:

    Wenn überhaupt, wird nur die appsfire.com-Variante in Frage kommen.

    Der Post von Hendrik zeigt schön noch mal die Komplexität auf. Was die Verwirrung beim Login angeht, hat Luke Wroblewski einen guten Artikel geschrieben: http://uxdesign.smashingmagazine.com/2011/08/22/new-approaches-to-designing-login-forms/

  6. Florian schrieb am Freitag, 14. Juni 2013 16:25:00 Uhr:

    Ich finde eine eigene Authentifizierungs/Anmeldungsmethode ist wichtig, da es mich persönlich doch eher abschreckt wenn man sich nur via FB und Co. anmelden kann. Das sehen sicherlich viele anders, da es ja schön einfach ist.
    Eine Erhebung der E-Mail-Adresse könnte man als Minimum betrachten, damit man zumindest die Möglichkeit hat den Nutzer über diese zu kontaktieren, gerade wenn eine Anmeldung über den Dienst Dritter nicht mehr möglich ist.
    Wie weit man abhängig sein darf und kann ist sicherlich auch davon abhängig, um welche Art von Angebot es sich handelt.

« Zurück  |  Weiter »
© 2004-2014 Thomas Bandt.