Daniel*: Datenschutz/Info zu bereits registrierten E-Mail-Adressen

Hallo Forum,

ich mache mir momentan etwas Gedanken um den Datenschutz bei E-Mail-Adressen, bzw. einem Widerspruch von Datenschutz und Benutzerfreundlichkeit.

Folgende, nicht undenkbare, Situation angenommen:

Die Benutzerverwaltung eines Webauftritts identifiziert Benutzer über die E-Mail-Adresse, diese ist also das Alleinstellungsmerkmal eines Benutzers.

Ein unbekannter Dritter gibt bei der Registrierung von neuen Accounts irgendwelche E-Mail-Adressen an.

Wenn nun eine E-Mail-Adresse bereits registriert ist, zeigt der Registirerungsprozess einen Fehler an, nämlich dass besagte Adresse bereits regstriert sei.

Auf diese Weise liese sich doch nun herausfinden, wer alles registriert ist.

Ich frage mich nun, wie ich am besten verhindern kann, dass durch die Eingabe zufälliger E-Mail-Adressen herausfinden lässt, wer schon alles regisitrert ist.

Ich vermute, dass der Knackpunkt dabei die auszugebende Fehlermeldung ist. Da stehe ich dann aber vor dem Problem, dass ich dem Benutzer nicht einfach eine kryptische Nachricht zukommen lassen möchte.

Das würde ich zwar gerne, aber ich muss auch bedenken, dass sich ein Benutzer gerne nochmal mit seiner E-Mail-Adresse anmelden möchte (aus welchen Gründen auch immer), nur dass ich dass in diesem Fall nicht erlauben kann.

Seid ihr schon vor ähnlichen Problemen gestanden bzw. habt ihr schon eine Lösung für dises Problem gefunden?

Gruß, Daniel

  1. Hi,

    Die Benutzerverwaltung eines Webauftritts identifiziert Benutzer über die E-Mail-Adresse, diese ist also das Alleinstellungsmerkmal eines Benutzers.

    Vielleicht wäre diese Praxis dann als erstes zu überdenken.

    Ein unbekannter Dritter gibt bei der Registrierung von neuen Accounts irgendwelche E-Mail-Adressen an.

    Wenn nun eine E-Mail-Adresse bereits registriert ist, zeigt der Registirerungsprozess einen Fehler an, nämlich dass besagte Adresse bereits regstriert sei.

    Ja.
    Die Problematik viele aktuelle Websites betreffen.

    Auf diese Weise liese sich doch nun herausfinden, wer alles registriert ist.

    Es lässt sich herausfinden, welche E-Mail-Adressen für Registrierungen benutzt wurden.
    "Wer" das jetzt ist, lässt sich damit allein aber noch nicht sagen.
    Kommt halt drauf an, welcher weitere Informationsbestand vorliegt, mit dem diese Einzelinfo verknüpft werden kann.

    Ich frage mich nun, wie ich am besten verhindern kann, dass durch die Eingabe zufälliger E-Mail-Adressen herausfinden lässt, wer schon alles regisitrert ist.

    Ich vermute, dass der Knackpunkt dabei die auszugebende Fehlermeldung ist. Da stehe ich dann aber vor dem Problem, dass ich dem Benutzer nicht einfach eine kryptische Nachricht zukommen lassen möchte.

    Wenn du das beschriebene Verhindern willst, kannst du ihn eigentlich nur *gar* *nicht* über diesem Umstand informieren - zumindest nicht auf der Webseite.
    Du könntest ihm eine Mail schicken, die darauf hinweist - die kann nur der Inhaber der Adresse lesen.

    Das würde ich zwar gerne, aber ich muss auch bedenken, dass sich ein Benutzer gerne nochmal mit seiner E-Mail-Adresse anmelden möchte (aus welchen Gründen auch immer), nur dass ich dass in diesem Fall nicht erlauben kann.

    Dann teile ihm das per Mail mit.

    MfG ChrisB

    --
    RGB is totally confusing - I mean, at least #C0FFEE should be brown, right?
    1. Die Problematik viele aktuelle Websites betreffen.

      Betreffen viele aktuelle Websites die Problematik tut. SCNR.

    2. Hi,

      Vielleicht wäre diese Praxis dann als erstes zu überdenken.

      Die Praxis wird theoretisch dauernd überdacht :)

      Du könntest ihm eine Mail schicken, die darauf hinweist - die kann nur der Inhaber der Adresse lesen.

      Das ist eine ausgezeichnete Idee, darauf wäre ich so schnell nicht gekommen,w enn es auchnoch so logisch ist^^

      Gruß, Daniel

    3. Hallo,

      Wenn du das beschriebene Verhindern willst, kannst du ihn eigentlich nur *gar* *nicht* über diesem Umstand informieren - zumindest nicht auf der Webseite.
      Du könntest ihm eine Mail schicken, die darauf hinweist - die kann nur der Inhaber der Adresse lesen.

      Ich finde die Idee nicht so toll. Es bringt sehr wenig (gutes) und verwirrt die (ehrlichen, unerfahrenen) User sicherlich sehr.

      Egal wie man das macht - ein Datendieb der die registrierten Mail-Adressen rausfinden will kann dies immer tun. Denn er wird mit sicherheit darauf kommen, dass eine Fehlermeldung (was auch immer da drinnensteht - und irgendwas muss ja auch direkt am Bildschirm erscheinen) bei richtiger Eingabe aller Daten deshalb erscheint, weil die Mail Adresse falsch ist. Er kann das mit einer Registrierung unter einer von seinen eigenen (Fake-)Adressen auch noch bestätigen.

      Man könnte es ein bisschen sicherer gestalten indem man immer schreibt, dass die Registrierung erfolgreich war und man seine Mails für den nächsten Schritt checken soll. Aber das schadet eigentlich nur den echten Usern...

      Wenn es um ein Thema geht, wo man davon ausgehen kann, dass die Leute auf keinen Fall wollen, dass jemand weiß - oder ahnen kann - dass sie dort registriert sind muss man auf eindeutige Usernamen ausweichen. Eine E-Mail-Adresse kann man immer noch über einen E-Mail-Link verifizieren...

      Gruß
      Alex

      1. Hi,

        Du könntest ihm eine Mail schicken, die darauf hinweist - die kann nur der Inhaber der Adresse lesen.

        Ich finde die Idee nicht so toll. Es bringt sehr wenig (gutes) und verwirrt die (ehrlichen, unerfahrenen) User sicherlich sehr.

        Egal wie man das macht - ein Datendieb der die registrierten Mail-Adressen rausfinden will kann dies immer tun. Denn er wird mit sicherheit darauf kommen, dass eine Fehlermeldung (was auch immer da drinnensteht - und irgendwas muss ja auch direkt am Bildschirm erscheinen) bei richtiger Eingabe aller Daten deshalb erscheint, weil die Mail Adresse falsch ist. Er kann das mit einer Registrierung unter einer von seinen eigenen (Fake-)Adressen auch noch bestätigen.

        Dann gibt man halt keine Fehlermeldung aus - sondern nur den Hinweis, dass für den nächsten Schritt des Registrierungsprozesses die Hinweise in der gerade versandten Mail befolgt werden sollen.
        Das kann bei erfolgreicher Registrierung das Anklicken des üblichen Bestätigungslinks sein - und bei einem Problem mit bereits verwendete E-Mail-Adresse ruft dieser Link erst noch mal das Formular auf, in dem die bisher eingegebenen Daten bereits vorausgefüllt sind (außer Passwort), und wo er den Prozess nach Angabe einer anderen Adresse erneut anstarten kann.

        MfG ChrisB

        --
        RGB is totally confusing - I mean, at least #C0FFEE should be brown, right?