Hallo zusammen,

ich habe eine frage an das Universum: Warum werden plötzlich E-Mail und Passwort bei logins getrennt abgefragt?
Was ich damit meine, früher (in der guten alten Zeit ) hatte man beim login zwei Felder "E-Mail/Benutzername" und "Passwort". Unterdessen gibt es echt viele Seiten die erst einmal "E-Mail/Benutzername" abfragen und erst nach einem klick auf "Weiter" kann man sein Passwort eingeben. Kann mir jemand erklären warum das gemacht wird? Was ist der Vorteil es zu trennen anstatt in einer Maske zu haben?

Beispiele: https://login.microsoftonline.com

Vielen dank liebes Universum

Es wird erst einmal geprüft, ob die E-Mail / Benutzername gültig ist.

Naja, das ist zwangsläufig immer so – wie willst Du prüfen, ob das Passwort zum Nutzer passt, wenn es den gar nicht gibt?

Aber deshalb müsste man ja nicht darauf verzichten, bereits auf der ersten Seite auch das Passwort-Textfeld anzuzeigen. Dass das Passwort dann gleich mitgesendet wird, ist bei verschlüsselter Übertragung ja egal.

Der Grund ist wohl, dass damit das automatische Ausfüllen von Nutzername und Passwort verhindert werden soll. Was vermeintlich die Sicherheit erhöht und Server-Überlastung verhindern soll, ist für den Nutzer leider ein ausgesprochenes Ärgernis, ähnlich diesen blöden reCaptchas.

Bei einer Seite, die beide Werte abfragt, kannst Du auch beide Werte in unzähligen Kombinationen dort hin senden (ja, mir ist bekannt, dass es auch da gegen serverseitig Maßnahmen gibt).
Automatische Ausfüllen klappt bei mir übrigens wunderbar.

Naja, das könntest Du/der Bot so auch – nur dass es halt de facto unzählige Male bei der Übertragung des immer selben (falschen) Nutzernamens bleibt und nie zur Übertragung eines Passwortes kommt.
Mit welchem Browser/Programm?

Automatisches ausfüllen stellt auch technisch keinen Unterschied dar, wenn das Eingabefeld von Beginn an da ist (nur ausgeblendet, auf "Null" Höhe gesetzt, oder aus dem sichtbaren Bereich verschoben wurde).

Mir persönlich nerven diese Abfragen massiv (unsinniges Rumgeklicke und warten bei der Navigation). Neben den von mir aus vorhandenen Sicherheitssteigerungen steht aber irgendwo auch das Minimalismus Design im Vordergrund, bei welchem du riesige Screens hast, wo in der Mitte ein Feld ist, an dem nicht mal mehr eine Erklärung steht. Nicht meine Welt, aber das sieht besagte Welt wohl anders.

Vor 25 Jahren hätte man sich die Finger nach bei jedem vorhanden Auflösungen von > 1024px die Finger geleckt, heute "füllen" wir sie mit Leere ...

Ja, aber ich meinte die Fälle, wo für die Passworteingabe wirklich eine neue URL aufgerufen wird.

Safari / 1Password

Die Eingangsfrage war ja auch nicht ob das technisch sinnvoll ist und / oder ob das nicht schön längst umgangen werden kann und damit überholt, sondern warum überhaupt jemand auf die Idee kommt das so zu gestalten.
Gleiches gilt übrigens auch für das von Dir bemängelte reCaptcha. Ursprünglich entworfen um Bots auszuschließen nervt es heute nur noch und hilft kaum noch. Deswegen wäre die ursprüngliche Antwort heute trotzdem nicht falsch.

Hier werden ein paar ganz nachvollziehbare Erklärungsansätze geliefert:

https://security.stackexchange.com/questions/85160/is-having -the-username-and-password-fields-on-different-pages-more-se cure

Ah, OK. 1Password = Abo = No-Go.

Ich sehe auch nicht ein, zusätzliche Software für etwas zu verwenden, was von Haus aus (= Safari allein & Schlüsselbund) gehen sollte.
Naja, nachvollziehbar vielleicht, aber ganz sicher nichts derart Wichtiges, dass ich akzeptieren könnte, wenn es mir als Nutzer das Leben schwerer macht.

Bai der Ausgangsfrage war der Login von Microsoft als Beispiel angegeben.
Wenn ich darauf gehe, meine Mailadresse eingebe, dann kann ich doch mit dem Schlüssel
das Passwort sofort automatisch ausfüllen. Das ist doch viel schneller als früher?

🤦‍♀️

[/quote]
Naja, nachvollziehbar vielleicht, aber ganz sicher nichts derart Wichtiges, dass ich akzeptieren könnte, wenn es mir als Nutzer das Leben schwerer macht.
[/quote]

Das ist doch Quatsch.

Es geht darum Logins sicherer zu machen und genau das ist sehr wichtig. Wenn man sich Serverlogfiles ansieht, dann ist das schon bei unbedeutenden Seiten oft erschreckend wie häufig da versucht wird einzubrechen. Und genau mit einem solchen Verfahren kann man die automatisierten Versuche ziemlich eindämmen.

Das ist kein Quatsch. Es ist die Frage, warum das mehr Sicherheit bieten sollte.
Mmn. ganz im Gegenteil. So kann man brute force erst mal den Account-Namen ermitteln und weiß dann irgendwann schon mal sicher, dass es den gibt, da solche Namen mit Sicherheit nicht nach den selben Kriterien erstellt werden wie Passwörter. Oft sind es schlicht Mail-Adressen.
Hinzu kommt, dass mit reinen Sammlungen von Mail-Adressen eine ziemlich hohe Wahrscheinlichkeit besteht, gültige Accounts zu finden. Man kann so ziemlich simpel Adressenlisten verifizieren, was ganz sicher ein enormer Sicherheitsverlust ist.
Das ist mit Anlauf ins Knie der Kunden geschossen. Eine miserable Idee folglich.

Es ist nicht Sinn des Verfahrens im ersten Schritt den Usernamen oder ähnliches zu überprüfen, es ist Sinn eine Zeitverzögerung zu erzeugen und gegebenenfalls den Sicherheits-Token auszutauschen.

Es geht technisch darum, dass ein Bot nicht einfach nur schreibend auf eine Seite zugreifen kann, sondern, dass er mit der Seite interagieren können muss. Er muss nämlich warten können, die neue Seite wieder auswerten und dann wieder Daten übertragen können.

Das interessiert nicht. Es wird gemacht. Wenn es um Zeitverzögerung ginge, würde es auch mit Pause bei einem 2. Login-Versuch bei gleicher IP funktionieren.
Bots kann man fast beliebig komplex programmieren. Also kein Hindernis, nur Ärger.

Hier zumindest mal die Begründung von und für Google:Quellen:



Kurz: aus UX Sicht als auch aus (internen) technischen Gründen (Integration etc.).