eingelogged.de sichert Zugangsdaten für Webdienste

von Alexander Hüsing Dienstag, 23. September 2008 20 Kommentare

Jeder Webnutzer muss sich ständig irgendwelche Passwörter merken. Wer sein Wörtchen nicht mehr auf die Reihe bekommt, steht ansonsten vor verschlossener Türe. Philipp Schreiber, Sven Körner und Ingo Frick kennen dieses Problem und haben deswegen vor einigen Wochen eingelogged.de (www.eingelogged.de) ins Leben gerufen. Über den Dienst ist es möglich, seine Passwöter für unzählige Dienste zu verwalten. “Die Benutzer können bei uns sicher ihre Zugangsdaten zu derzeit 290 Diensten hinterlegen und sich anschließend bei diesen Diensten mit nur einem Klick anmelden”, erklärt Initiator Schreiber das Konzept. Die jeweils ausgewählten Angebote erscheinen bei eingelogged.de dann auf der persönlichen Startseite. Mit einem Klick kann sich jeder Onliner so schnell ohne Passworteingabe zu sozialen Netzwerken, Shops und anderen passwortgeschützten Diensten weiterklicken. Nachteil: Die Reihenfolge der kleinen Schaltflächen lässt sich nicht verändern.

Ein weiterer heikler Punkt bei einem Angebot, welches die Passwörter seiner Nutzer speichert ist selbstverständlich die Sicherheit. Schreiber ist sich dieser Sicherheitbedenken bewusst: “Wir können die größtmögliche Sicherheit der persönlichen Nutzerdaten garantieren – wir brauchen schließlich das Vertrauen unserer Benutzer. Gleiches gilt auch für den unbefugten Zugriff durch eingelogged.de selbst, der sogar strafrechtliche Konsequenzen für uns hätte”. So seien die Benutzernamen und Passwörter hochverschlüsselt in der Datenbank der Betreiber abgelegt. Der Server sei durch mehrere dezidierte Firewalls gesichert. Bei der Finanzierung ihrer Zugangsdatenverwaltung denken die Neckarsulmer unter anderem an Werbung, Kooperationen mit bestimmten Diensten und Micropayment. Bei eingelogged.de “kosten” alle Aktionen Punkte. Im Gegenzug bekommen die Nutzer Punkte für bestimmte Aktivitäten.

Allyve startete Anfang des Jahres

Neben eingelogged.de existiert mit Allyve (www.allyve.de) seit Anfang dieses Jahres ein vergleichbarer Dienst. Auf Allyve hinterlegt der User einmalig ein Passwort, welches anschließend für alle von ihm angelegten Widgets gültig ist. Lästiges Einloggen auf jeder einzelnen Seite ist künftig somit nicht mehr notwendig, er gelangt gleich auf die Unterseiten. Neben der Möglichkeit, seine Passwörter für soziale Netzwerke, Shops oder Flirtdienste zu hinterlegen, können Nutzer bei Allyve zudem RSS-Feeds abonnieren und einige Links zu ihrer persönlichen Startseite hinzufügen. Von diesem Konzept wollen sich die eingelogged.de-Macher abgrenzen: “Wir haben nicht den Ansatz eine an Netvibes angelehnte Startseite zu sein. Bei uns dreht sich alles um die Internetdienste der User – inklusive Bewertung und Kommentare”.

Artikel zum Thema
* Allyve hat große Ziele

Druckversion Artikel versenden

Vorheriger Artikel

Nächster Artikel

Kommentare

Für Apple Nutzer eine prima und bewährte Alternative: 1password von http://agilewebsolutions.com/products/1Password

Synchronisiert Web-Passwörter auf mehrere Geräte IPhone inkl., füllt Formulare auf Wunsch selbst aus, generiert zufällige Passwörter und integriert sich in jeden Browser der unter OSX läuft.
Kommentar von Roland Moriz 23. September 2008 @ 08:06
Das kann doch sowohl IE7 als auch FF2/3. Warum sollte ich jetzt eingelogged.de nutzen?
Kommentar von Chris 23. September 2008 @ 08:34
als “hochverschlüsselt” und “nahezu unhackbar” proklamieren und dann “beta” draufschreiben passt irgendwie nicht zusammen jungs. Gerade wenns um sicherheit geht würde ich mir das beta verkneifen …
Kommentar von Michael 23. September 2008 @ 08:54
Was wollen uns denn die Autoren der AGBs beider genannten Unternehmen wohl mitteilen?

“Das persönliche Passwort ist vertraulich zu behandeln und darf nicht an Dritte weitergegeben werden”

Scheinbar vertreten die Macher von eingelogged und Allyve jedoch die Ansicht, nicht zu den “Dritten” zu gehören.

Unabhängig davon ist beispielsweise OpenID der bessere Weg.

Herzlichen Gruß
Lorenz Isbeih
BeFAIRY GmbH
Kommentar von Lorenz Isbeih 23. September 2008 @ 09:37
ich habe ein verständnisproblem — was bedeutet:

“hochverschlüssel” — ist das besser als “verschlüsselt”?
Kommentar von Heinrich Heine 23. September 2008 @ 09:55
Hallo alle zusammen,

dann möchte ich mich doch einmal zu den bisherigen Kommentaren aus Sicht von eingelogged.de äussern und versuchen, etwas Licht in die Diskussion zu bringen.

@Roland (1):
Ich persönlich kenne die Apple-Funktion von agilewebsolutions nicht, allerdings funktioniert das ganze wahrscheinlich nicht im nächsten Hotel, Internetcafé oder auf der Party bei nem Kumpel. Solange dieser dann nicht Dein Passwort hat und Deinen Browser benutzt bzw. OSX, funktioniert das nicht.
Das Selbe gilt für die Arbeit, wenn Du da nicht zufällig Deinen Rechner nutzt, sondern von der Windows-Domäne und Deinem Administrator Profile “auferlegt” bekommst.
Prinzipiell ist der Fokus also: Plattformübergreifend und weltweite Verfügbarkeit Deiner Dienste.
Zusätzlich sehen wir es noch als stärke an, dass man Profile einteilen und komplette Profile mit vielleicht 20 Diensten mit einem Click direkt einloggen kann.

@Chris (2):
Ich denke der Grund ist hier in dem Fall ähnlich wie bei Roland. Du wirst wieder alle Logins und Co. eingeben müssen, wenn Du nicht Deinen FF oder IE dabei hast. Deine Dienste wie webmail, myspace, blog und Co. wirst Du aber sicherlich auch auf Reisen nutzen.
Bei Reisen hat man aber nicht immer seinen Laptop/Mobiles Telefon dabei, sondern nutzt doch noch relativ häufig öffentliche Rechnersysteme.
Hier möchten wir vermeiden, dass Passwörter für die Dienste in fremde Systeme eingegeben werden, die man nicht kennt und denen man evtl. nur bedingt vertraut (siehe auch TAN-System in Antwort 3).
Etwas Paranoia ist bekannterweise nie verkehrt – und deswg. schätzen wir auch den kritischen Umgang mit unserem Dienst.

@Michael (3):
Das “beta” bezieht sich eher auf Funktionalität und Usability, als auf das Sicherheitskonzept. Das ist alles andere als beta. Uns ist und war klar, dass wir uns in diesem Bereich NULL Fehler erlauben dürfen.
Wofür das beta also steht? Für so Dinge wie dass zB das Einloggen von AJAX und Flash-Seiten noch nicht funktioniert. Oder die Erweiterung mit einmaligen Zugangs-TANs, die man sich vor einer Reise erstellt und anschließend in Timbuktu im Internetcafe bei eingelogged.de einlogged, ohne das eigentliche Passwort benutzen zu müssen. Also anstatt Dein “testuser” und “testpasswort” zu benutzen, würdest Du mit “testuser” rein gehen und eingelogged.de fragt dich nach der TAN 14. Das Prinzip kennen wir alle vom Online-Banking.
Der Vorteil: Die Jungs im INetcafe in Timbuktu können trotz keylogger nichts mit Deinen Diensten anfangen (nehmen wir brute-force-Angriffe auf Deinen Usernamen aus).

@Lorenz (4):
Das mit den Passwörtern ist natürlich eine große Vertrauenssache.
Fakt ist, wir könnten hier den selben Ansatz wie Verisign fahren und sagen “wir können das Passwort der Nutzer nicht”. Das ist aber schlichtweg gelogen, weil wie sollte man die Nutzer sonst einloggen können?
Wir denken, dass die Nutzer intelligent genug sind, dies zu verstehen – bei allen anderen Aussagen (siehe auch Verisign) käme ich mir etwas vereppelt vor.
Die Passwörter kennt natürlich keiner unserer Mitarbeiter persönlich, und wie bereits erwähnt liegen diese verschüsselt ab. Allerdings gäbe es natürlich jederzeit die Möglichkeit mit böser Absicht die Passwörter der Nutzer wieder herzustellen. Dies verbietet sich nicht nur gesetzlich, sondern auch moralisch.
Nichts desto trotz möchten wir die Nutzer direkt darauf hinweisen, anstatt den “normalen DAU” einfach für dumm zu verkaufen.

Zum Thema OpenID: Und die haben dann nicht das Passwort? Doch, sicherlich auch. Und in diesem Konsortium befinden sich 2 der größten Datenkraken dieser Welt. Wir persönlich haben damit kein Problem, aber wir wissen, wie skeptisch viele Nutzer auch diesen Firmen gegebenüberstehen.
Das große Horrorszenario bei OpenID ist schlichtweg ein ganz anderes. Wenn ich eine ID für alle meine Dienste habe, bin ich auf dieser ID auch fröhlich trackbar. Google, MS und Co. wissen dann jederzeit, wo ich mich wann wie wo aufhalte, was ich gerne kaufe, etc. Und schon gibt es ein tolles Profil über meinen OpenID-User, über den ich eine Menge weiss.
Viele Menschen möchten im Internet aber anonym bleiben. Ja, viele Leben sogar mit mehreren Identitäten im Netz: Den User für diese Dienste, den anderen für die anderen (seriöseren) Angebote. Und so weiter.
Hier ist unserer Meinung nach der größte Knackpunkt von OpenID, der sich _NICHT_ mit dem Nutzerverhalten und den Vorlieben der Internet-Affinen-Gemeine deckt.
Bei eingelogged.de darf ich sein und bleiben, wer ich will. Wir erleichtern nur den Login, drücken dem Nutzer aber kein “Pflichtprofil” auf.

@Heinrich (5):
Hi Heinrich, tatsächlich sehen wir dort auch keinen Unterschied. Vor 5 Jahren wäre dies evtl. noch relevant gewesen, wie z.B. 64bit vs 128bit bei Browsern.
Man könnte natürlich genauer Beschreiben, welche Verschlüsselungsansätze gewählt wurden. Mit einem Standard-RSA ist man heutzutage ja zB nicht mehr so sicher, wie noch vor 5 Jahren.
Der Trickt liegt aber nicht nur in der Verschlüsselung, sondern auch an der entsprechenden Verteilung der Anwendung auf versch. speziell abgesicherte Rechner untereinander.

Bei Fragen, bitte einfach melden:
Sven J. Körner
eingelogged.de
sven.koerner@eingelogged.de
http://eingelogged.de
Kommentar von Sven J. Körner [eingelogged.de] 23. September 2008 @ 10:42
Toller Dienst, wo der Benutzer sein Gehirn bei der Registrierung abgibt. Hoffentlich vermisst er es, wenn der Dienst eingestellt wird oder mal nicht funktioniert.

Verschlüsselung? Es gibt nichtmal einen Hinweis darüber, wie verschlüsselt wird! Ist sie symmetrisch oder asymmetrisch? Wenn sie asymmetrisch ist? Wie lang sind die Schlüssel? Welche Algorithmen werden verwendet? …nicht sehr vertrauenserweckend.

Ich werde nie so einen Dienst nutzen, da er die einzige Instanz ist, die gebrochen werden muss, um Zugang zu allen Seiten zu erhalten, die da von mir konfiguriert sind.
Kommentar von foo 23. September 2008 @ 10:45
Roboform auf einem USB Stick ist viel einfacher!

Wieso entwickelt man so einen Unsinn?
Kommentar von TK 23. September 2008 @ 10:46
Schon wieder so eine “Was soll ich bloß mit meinem Leben anfangen”- Gründung
Sind die Studiengebühren wirklich schon so hoch??
Kommentar von Andreas S. 23. September 2008 @ 10:47
@Andreas S. – egal was sie machen und wie sie es machen, haben sie trotzdem ein gewisses Maß an Respekt verdient.

Die Art, mit der viele Kommentatoren hier die Arbeit der vorgestellten Firmen oder des Blogs bewerten, ist an Arroganz kaum zu überbieten.
Natürlich gibt es auch dumme Ideen und nervige Gründer, aber keine hier ist in einer Position, um sich so eine anmaßende Haltung leisten zu können.
Kommentar von Daniel Thomaser 23. September 2008 @ 11:58
Schöne ausführliche Antwort von Sven Körner, danke!

An die notorischen Mießmacher: wenn ihr es nicht braucht, dann nutzt es halt nicht.
Ich kann es echt nicht nachvollziehen, wie man sich über einen Dienst so aufregen kann, denn man wahrscheinlich niemals nutzt. Technisch ist das ganze sicherlich auch nicht ohne.

Ob eingeloggt einen grundsätzlicher Erfolg erzielt, bleibt natürlich abzuwarten, vor allem da es Konkurrenzdienste wie myonid gibt und auch schon von größen wie Microsoft gescheiterte Versuche unternommen wurden (Stichwort Passport).

@Daniel Thomaser
Es gibt keine dummen Ideen, nur eine nicht vorhandene Zielgruppe ;-)
Kommentar von Peter R. 23. September 2008 @ 13:24
Mal eine Frage zum Thema deutsche Rechtschreibung. Ich bin ja nicht immer Fan äh Freund von Anglizismen. Wenn ein Wort mit „einge“ anfängt, sollte es nicht auch entsprechend mit „t“ aufhören?

=> eingeloggt.de wäre meiner Meinung nach etwas korrekter

P. S. würde es dann auch „ich loggede mich ein“ heißen?

;)
Kommentar von Nico Hagenburger 23. September 2008 @ 13:40
@Nico: good Point! nicht ganz zu Ende gedacht der Name, oder?
Ich wünsch Euch trotzdem viel Glück.
Kommentar von Lina 23. September 2008 @ 13:54
Ich persönlich würde es auch nicht nutzen, weil ich immer nur an einem Rechner arbeite und dort entsprechende PW Manager (lokal) nutze.

Im Übrigen empfehle ich ‘Andreas S.’ mit Nachdruck seine Frustration lieber an seinem eigenen “Startups sind Scheisse” Blog auszulassen als hier und sich dann noch parasitär zu verlinken.
Kommentar von Yella 23. September 2008 @ 15:53
Ich habe vorhin eingelogged getestet. Die Seite ist ja nicht schlecht, doch die Usability lässt doch zu wünschen übrig. Ich bin zwar eingeloggt, doch woher weiß ich denn, was in meinen Accounts so abgeht?
Bei Allyve habe ich einen Überblick über all meine Accounts. Das ist doch viiiieeel praktischer. eingelogged/t ist doch eher eine schlechte Kopie von Allyve.
Kommentar von Simon Boehnert 23. September 2008 @ 16:22
Jetzt spamt auch noch Allyve hier rum…
Kommentar von Christoph 23. September 2008 @ 16:57
Am Ende des Tages ist die Selbstständigkeit das einzigst wahre, wünsch den Jungs alles gut
@Andreas S. Kommentieren gehört dazu, aber bitte nicht auf Kosten von ehrlichen und hart arbeitenden Webmachern
Kommentar von Youssef Zauaghi 23. September 2008 @ 18:04
Ich nutze eingelogged.de schon seit geraumer Zeit und bin sehr zufrieden. Eine gute Idee zu rechten Zeit, Gratulation!
Eingelogged ist ein nettes Programm, was mir meinen Aufenthalt im Netz erleichtert und vereinfacht, gerade weil ich nicht immer am selben Rechner arbeite.
Kommentar von Oliver 23. September 2008 @ 18:41
Eingelogged? Wie peinlich ist das denn – ein Deppenperfekt im Projektnamen?

Demnächst starten gerüchteweise auch das Spannerportal erwisched.de, die Verabredungsplattform verpassed.de und die Rezeptesammlung eingekoched.de.
Kommentar von Aua 23. September 2008 @ 21:43
Ich vermute, die Operation wird an mangelndem Vertrauen scheitern. Weshalb soll ich Unbekannten meine Paßwörter auf einem Silbertablett überreichen?
Kommentar von Wolfgang Wüst 24. September 2008 @ 09:38