Login mit Cookies

Da Benutzer nur ungern immer wieder Benutzername und Password eingeben wollen, arbeiten viele Programme u.a. Google, WordPress (z.B. dieser Blog) mit Cookies, in denen eine Benutzerkennung auf dem PC abgelegt wird. Man sollte von Zeit zu Zeit prüfen wieviele  Cookies auf dem eigenen PC abgespeichert sind (z.B. bei Internet Explorer -> General -> (Browsing History) -> Settings -> View Files).  Man wird über die Menge der gespeicherten Cookies überrascht sein – allerdings werden nicht alle auch für automatisches Login verwendet. So bequem Cookies auch für den Benutzer sind, so können sie bei typischen Internet Benutzern auch einige Probleme machen. Diese können  die Akzeptanz von Web Lösungen für die private Nutzung erheblich erschweren. Im privaten Bereich greifen die Benutzer nicht so häufig auf das System zu wie z.B. in einem Unternehmen. Dadurch werden Benutzername und Passwort noch häufiger vergessen. Man kann sich im privaten Bereich ja keinen teuren Help Desk nicht leisten.

1. Da die Benutzer ihren Benutzernamen und  Passwort nie eingeben müssen, werden beide gern vergessen. Geht das Cookie nun verloren, oder versucht der Benutzer  von einem anderen Computer zuzugreifen, ist der Zugriff nicht möglich. Der unbedarfte Benutzer sieht dann keinen Ansatz zur Lösung des Problems.  Die Benutzer sollten angeleitet werden, wenigstens eine Liste der genutzten Websites anzulegen. Häufig kann man dann nur mit Kenntnis der eigenen eMail Adresse ein neues Passwort erhalten. Verlangt die Website aber die Angabe von Benutzername oder stellt eine sogenannte Passwortfrage, dann hat der Benutzer meist verloren.   
2. Bei Browser Updates oder beim Umstieg auf einen anderen Browser gehen die Cookies ohne spezielle Aktion des Benutzers verloren.
3. Greift man von zwei verschiedenen Systemen z.B. vom Handy und dem PC auf eine Website zu, so können nicht alle Websites korrekt mit den Cookies umgehen.  Der Benutzer kann dann in komplexe Fehlersituationen kommen.
4. Manche Websites arbeiten mit Time Outs – das Cookie ist nur für eine begrenzte Zeit gültig. Typische Benutzerreaktionen “Das hat bis jezt immer funktioniert!”, “und dann waren meine eingegeben Daten plötzlich weg!” 

Folgende Massnahme haben sich bei Privaten Portalen oder bei externen Unternehmensportalen bewährt. 

1. Der Benutzername sollte die eMail Adresse des Benutzers sein. Das ist häufig der einzige Benutzername, den man sich bei seltener Nutzung merken kann.
2. Selbstbedienung (Self Service) zur Rückstellung des Passworts. Nur bei wirklich hohen Sicherheitsanforderungen sollte ein Administrator eingreifen müssen. (Bei Sharepoint Hosting wird das zur Zeit nicht angeboten)
3. Passwort Hilfefunktion sollte ohne Passwort zugänglich sein und das Vorgehen bei Sperre des Zugangs auch für Internet Laien verständlich beschreiben. 

Zugangsprobleme sind häufig der Grund für Akzeptanzprobleme von Systemen. Häufig wird das damit entschuldigt dass komplizierte Login und Registrierungsverfahren die Sicherheit von Systemen erhöhen, was häufig keinesfalls richtig ist.