bei Klick auf Email-Link automatisch einloggen: wie funktioniert das?

[Ömerich]

Hallo zusammen,

vielleicht hab ich mich beim Suchen zu doof angestellt, falls ja, sorry.

Ich frage mich gerade, wie folgendes technisch funktioniert:

Ich habe einen Account mit Benutzername und Passwort bei der Seite Beispiel.de.
Jetzt bekomme ich von Beispiel.de öfters Emails an meine bei diesem Account hinterlegte Emailadresse. Dort sind Links zur Seite Beispiel.de und Unterseiten hinterlegt sowie der Hinweis "Beim Klicken auf die Links wirst du automatisch eingeloggt."

Wie und an welcher Stelle ist hier mein Benutzername und v. a. das zugehörige Passwort hinterlegt, damit das funktioniert?

Meine Gedanken dazu:
Das PW sollte doch keinesfalls im Klartext per Hyperlink an die Seite Beispiel.de übertragen werden, d. h. im Link sollte es (im Klartext) nicht hinterlegt sein.

Idee: Im Hyperlink ist mein Benutzername und mein PW bereits enthalten, aber gehashed und gesalzen. Könnte das so funktionieren?

Gehe ich Recht in der Annahme, dass dies im Vergleich zum direkten Aufruf der Seite Beispiel.de über eine https-Verbindung _unsicherer_ ist? Begründung: Die Email geht unverschlüsselt durchs Netz, somit könnte da jemand relativ einfach meinen Benutzername und PW (wenn auch verschlüsselt) abfangen.

Mir gehts um das technische Verständnis hier.

Danke für Input,

MfG,
Oem

 

[floert]

Also so wie ich das jetzt verstehe ist das Passwort mittels eines Cookies in deinem Browser gespeichert, kann mich natürlich auch irren, das wäre aber mMn logisch

 

[Tumbleweed]

Es hängt natürlich von der konkreten Implementierung ab, aber normalerweise erstellt der Server einen Hash aus deiner E-Mail, einem Timestamp (zur Begrenzung der Gültigkeit des Links) und einem Secret, das nur der Server kennt. Schlägst du nun mit diesen Parametern (das Secret ist natürlich nicht enthalten, nur der damit erstellte Hash) beim Server auf, baut er diesen Hash erneut und vergleicht, ob er mit deinem gesendeten übereinstimmt. Zu keiner Zeit ist dein Passwort im Spiel. Die Verbindung muss aber trotzdem sicher sein und du darfst diesen Link nicht in freie Wildbahn geraten lassen.

 

[Snooty]

Könnten auch Einmallinks sein bzw Links, die nur eine begrenzte Zeit lang gültig sind. Da ist dann irgendein Parameter enthalten, der eben direkt zum Einloggen genutzt wird. Ist natürlich gefährlich, da damit jeder in deinen Account kommt.

 

[Ömerich]

@ floert:
Den Haken "eingeloggt bleiben" / "remember me" auf besagter Seite hab ich nie gesetzt. Von daher dürfte es doch kein "Anmelde-Cookie" geben...?

@ Snooty, Tumbleweed:
D. h. in der URL im Link in der Email ist sozusagen ein gehashtes "Einmalpasswort" enthalten, dass mich zwar dem Server gegenüber autorisiert zum Einloggen, welches aber nichts mit meinem persönlichen Passwort zu tun hat, richtig?

Die Folge wäre, dass sich jeder mit dem Link als mich ausgeben und sich einloggen kann, sofern der Link nicht über den Timestamp abgelaufen ist?

Gefällt mir irgendwie nicht so, weil ja Emails meist unverschlüsselt übertragen werden.

 

[Snooty]

Müsstest du mal testen, ob dem so ist - bspw. den Link in einem Browser öffnen, den du nie genutzt hast (der also definitiv auch kein Cookie von der Seite gespeichert hat).

 

[Tumbleweed]

Deine Bedenken sind gerechtfertigt. Von einer Bank wirst du so was auch nicht bekommen.

Der Übertragungsweg ist bei E-Mails inzwischen oft verschlüsselt, aber auf den Servern liegen sie im Klartext. Theoretisch könnte ein Dienstleister wie Google solche Links aufrufen und Daten aus deinem Account abgrasen.