Computerhaus Quickborn

Authentifizierungs-How-to für Entwickler​

Benutzer zu authentifizieren, ohne sie dabei zu irritieren – darauf kommt es für Softwareentwickler an. Natalya Kosarevich | shutterstock.com Webseiten, die sich an individuelle User anpassen sollen, müssen diese authentifizieren. Softwareentwicklern kommt in diesem Zusammenhang die Aufgabe zu, diesen Prozess so reibungslos und sicher wie möglich zu gestalten. Dabei können alle möglichen Fragen und Probleme auftauchen, denn Devs müssen: Benutzerdaten angemessen schützen, die User dazu bringen, gute Passwörter zu wählen, davon ausgehen, dass diese vergessen werden, und damit rechnen, dass sie wahrscheinlich auch nicht wirklich sicher sind.   Die Frage, ob man Authentifizierungslösungen dabei lieber kaufen oder selbst aufsetzen sollte, stellt sich nicht: Ähnlich wie beim Thema Verschlüsselung ist Letzteres nicht zu empfehlen. Inzwischen steht zudem eine Vielzahl ausgereifter Lösungen von diversen Anbietern zur Verfügung, die sowohl einfach zu implementieren sind als auch akribisch mit Security-Updates versorgt werden. Kompromisse eingehen müssen Developer hingegen oft, wenn es darum geht, Sicherheit und (gute) User Experience auszubalancieren. Zu diesem Zweck bieten die meisten Drittanbieterlösungen diverse Optionen und Funktionen – es liegt also vor allem an Ihnen, diese richtig einzusetzen.   Im Folgenden werfen wir einen Blick auf die Dos und Don’ts der Authentifizierung für Softwareentwickler. Authentifizierungs-Dos Softwareentwickler tun gut daran, die folgenden fünf Punkte umzusetzen, wenn sie Authentifizierungslösungen implementieren. Die Punkte 1 bis 3 ermöglichen Ihnen dabei eine benutzerfreundliche und sichere Authentifizierung, ohne den Benutzern ein Passwort oder einen weiteren Account abzuverlangen. 1. Passkeys verwenden Bei Passkeys handelt es sich um eine relativ neue Technologie – entsprechend viele Missverständnisse umgeben sie noch. Sind diese ausgeräumt, sollten Passkeys dank ihrer Sicherheit und Benutzerfreundlichkeit Ihre erste Wahl in Sachen Authentifizierungsmethode sein. Um sie zu implementieren, ist – unabhängig vom Anbieter – oft nicht mehr nötig, als Ihre Applikation um eine Webkomponente zu ergänzen. Die Kombination aus biometrischer Sicherheit und Public/Private-Key-Encryption kommt bei der überwältigenden Mehrheit der Benutzer gut an. Oder kennen Sie jemanden, der lieber ein 48-stelliges Passwort über eine Smartphone-Tastatur in seine Banking-App eintippt, wenn er stattdessen auch einfach Face-ID oder einen Fingerabdruck-Scanner verwenden kann? Eben.    2. OAuth nutzen Manche User sind bekanntermaßen ein wenig eigen – auch wenn es um Authentifizierungsmethoden geht. Deswegen sollten Sie nach Passkeys auch OAuth implementieren. Das Autorisierungsprotokoll wird am häufigsten über Schaltflächen wie „Mit Google anmelden“ eingesetzt. Benutzer schätzen OAuth, weil sie sich damit auf Webseiten anmelden können, ohne ein Passwort eingeben oder gar ein neues Konto erstellen zu müssen. Als Entwickler können Sie die Logins diverser populärer Services und Webseiten einbinden. Neben Google gehören dazu beispielsweise: Apple, Facebook, Microsoft und GitHub. 3. Magic Links einsetzen Eine weitere Möglichkeit, Logins bereitzustellen, führt über sogenannte Magic Links. Dabei handelt es sich um Links zu Ihrer Webseite, die den Benutzern in der Regel per SMS oder per E-Mail zugehen. Für den Login reicht ein Klick darauf. Der Vorteil bei dieser Lösung besteht darin, dass der Magic Link nur für den jeweiligen Benutzer sichtbar ist – und nach einem Zeitlimit abläuft. Der Nachteil: Die User müssen Ihre Website verlassen, um ihren Posteingang zu checken. 4. Multifaktor-Authentifizierung verlangen Wenn die Benutzer Ihrer Webseite einen Account erstellen sollen, sollten Sie unbedingt auf Multifaktor-Authentifizierung (MFA) bestehen. Ansonsten ist (Security-)Ärger vorprogrammiert. Bei der Implementierung einer MFA-Lösung sollten Sie Folgendes beachten: Der Benutzer sollte eine Applikation nutzen, um ein Einmalpasswort (One-Time Password; OTP) zu erstellen. Das ist die sicherste Methode, weil das OTP in diesem Fall nicht abgefangen werden kann. Darüber hinaus können auch Passwortmanager zu OTP-Zwecken genutzt werden – und den gesamten Prozess automatisieren. Die nächstbeste Option besteht darin, das OTP per E-Mail zu versenden. Die sind immerhin schwieriger abzufangen als Textnachrichten. Nur wenn keine der genannten Methoden in Frage kommt, sollten die Benutzer OTPs per SMS erhalten. Diese Methode ist nicht sicher – auch weil fähige Cyberkriminelle sie leicht fälschen können. 5. User bei Bedarf Passwörter anzeigen lassen Kennwörter sollten selbstverständlich standardmäßig bei der Eingabe durch den Benutzer maskiert werden. Die Option, die eingegebene Zeichenfolge sichtbar zu machen, ist dennoch wichtig. Fehlt sie, sorgt das für unzufriedene Benutzer. Authentifizierungs-Don’ts Kommen wir nun zu den Dingen, die Sie als Entwickler in Bezug auf Authentifizierung unbedingt unterlassen sollten. 1. Benutzerkennwörter speichern Es sollte eigentlich selbstverständlich sein, die Kennwörter von Benutzer unter keinen Umständen in Ihrer Datenbank zu speichern. Stattdessen sollte eine Salted- und Hashed-Version des Passworts gespeichert und die Werte bei jedem Login abgeglichen werden. Und sollten Benutzer ihr Passwort vergessen, lassen Sie sie ein neues erstellen. Existierende per E-Mail zu verschicken, kommt einer Einladung für kriminelle Hacker gleich. 2. Komplexe Passwörter verlangen Dieser Punkt mag auf den ersten Blick kontraintuitiv wirken. Dennoch sollten Sie möglichst davon absehen, Ihren Benutzern zu strenge Passwortanforderungen aufzuerlegen und sie so dazu zu zwingen, Zahlen, Sonderzeichen sowie Groß- und Kleinbuchstaben zu verwenden. Eine Mindestlänge von zwölf Zeichen ist ausreichend. Anderenfalls steigt die Wahrscheinlichkeit, dass die Passwörter wegen ihrer (generischen) Komplexität: entweder vergessen, oder notiert werden. Dieser XKCD-Comic bringt es auf den Punkt. 3. OTPs nutzen, die länger als sechs Zeichen sind Sechs Zeichen sind für OTP-Links die Obergrenze – Sie sollten eher kürzere in Betracht ziehen. Unter keinen Umständen sollten Sie dieses Maß überschreiten, weil damit die Wahrscheinlichkeit steigt, dass die User die OTPs nicht im Gedächtnis behalten können. 4. Sicherheitsfragen verwenden Verzichten Sie auf die sogenannten „Sicherheitsfragen“. Die sind vor allem nervig. Und um die richtigen Antworten auf sie zu ermitteln, reicht meist schon eine ordinäre Social-Media-Recherche. 5. Anmeldeversuche einschränken Sehen Sie unbedingt davon ab, Benutzerkonten nach zwei oder drei Anmeldeversuchen zu sperren. Das Einzige, was Sie damit bewirken, ist eine verheerende User Experience. 6. Benutzer zwingen, ihr Passwort zu ändern Benutzer dazu zu zwingen, ihre Passwörter nach einem willkürlichen Zeitraum zu ändern, trägt nicht das Geringste dazu bei, die Sicherheit zu optimieren. In der Praxis führt das meist nur dazu, dass die Benutzer eine weitere Zahl an das Ende ihres existierenden Kennworts anhängen. Sie wollen weitere interessante Beiträge zu diversen Themen aus der IT-Welt lesen? Unsere kostenlosen Newsletter liefern Ihnen alles, was IT-Profis wissen sollten – direkt in Ihre Inbox! 

Authentifizierungs-How-to für Entwickler​ Benutzer zu authentifizieren, ohne sie dabei zu irritieren – darauf kommt es für Softwareentwickler an. Natalya Kosarevich | shutterstock.com Webseiten, die sich an individuelle User anpassen sollen, müssen diese authentifizieren. Softwareentwicklern kommt in diesem Zusammenhang die Aufgabe zu, diesen Prozess so reibungslos und sicher wie möglich zu gestalten. Dabei können alle möglichen Fragen und Probleme auftauchen, denn Devs müssen: Benutzerdaten angemessen schützen, die User dazu bringen, gute Passwörter zu wählen, davon ausgehen, dass diese vergessen werden, und damit rechnen, dass sie wahrscheinlich auch nicht wirklich sicher sind.   Die Frage, ob man Authentifizierungslösungen dabei lieber kaufen oder selbst aufsetzen sollte, stellt sich nicht: Ähnlich wie beim Thema Verschlüsselung ist Letzteres nicht zu empfehlen. Inzwischen steht zudem eine Vielzahl ausgereifter Lösungen von diversen Anbietern zur Verfügung, die sowohl einfach zu implementieren sind als auch akribisch mit Security-Updates versorgt werden. Kompromisse eingehen müssen Developer hingegen oft, wenn es darum geht, Sicherheit und (gute) User Experience auszubalancieren. Zu diesem Zweck bieten die meisten Drittanbieterlösungen diverse Optionen und Funktionen – es liegt also vor allem an Ihnen, diese richtig einzusetzen.   Im Folgenden werfen wir einen Blick auf die Dos und Don’ts der Authentifizierung für Softwareentwickler. Authentifizierungs-Dos Softwareentwickler tun gut daran, die folgenden fünf Punkte umzusetzen, wenn sie Authentifizierungslösungen implementieren. Die Punkte 1 bis 3 ermöglichen Ihnen dabei eine benutzerfreundliche und sichere Authentifizierung, ohne den Benutzern ein Passwort oder einen weiteren Account abzuverlangen. 1. Passkeys verwenden Bei Passkeys handelt es sich um eine relativ neue Technologie – entsprechend viele Missverständnisse umgeben sie noch. Sind diese ausgeräumt, sollten Passkeys dank ihrer Sicherheit und Benutzerfreundlichkeit Ihre erste Wahl in Sachen Authentifizierungsmethode sein. Um sie zu implementieren, ist – unabhängig vom Anbieter – oft nicht mehr nötig, als Ihre Applikation um eine Webkomponente zu ergänzen. Die Kombination aus biometrischer Sicherheit und Public/Private-Key-Encryption kommt bei der überwältigenden Mehrheit der Benutzer gut an. Oder kennen Sie jemanden, der lieber ein 48-stelliges Passwort über eine Smartphone-Tastatur in seine Banking-App eintippt, wenn er stattdessen auch einfach Face-ID oder einen Fingerabdruck-Scanner verwenden kann? Eben.    2. OAuth nutzen Manche User sind bekanntermaßen ein wenig eigen – auch wenn es um Authentifizierungsmethoden geht. Deswegen sollten Sie nach Passkeys auch OAuth implementieren. Das Autorisierungsprotokoll wird am häufigsten über Schaltflächen wie „Mit Google anmelden“ eingesetzt. Benutzer schätzen OAuth, weil sie sich damit auf Webseiten anmelden können, ohne ein Passwort eingeben oder gar ein neues Konto erstellen zu müssen. Als Entwickler können Sie die Logins diverser populärer Services und Webseiten einbinden. Neben Google gehören dazu beispielsweise: Apple, Facebook, Microsoft und GitHub. 3. Magic Links einsetzen Eine weitere Möglichkeit, Logins bereitzustellen, führt über sogenannte Magic Links. Dabei handelt es sich um Links zu Ihrer Webseite, die den Benutzern in der Regel per SMS oder per E-Mail zugehen. Für den Login reicht ein Klick darauf. Der Vorteil bei dieser Lösung besteht darin, dass der Magic Link nur für den jeweiligen Benutzer sichtbar ist – und nach einem Zeitlimit abläuft. Der Nachteil: Die User müssen Ihre Website verlassen, um ihren Posteingang zu checken. 4. Multifaktor-Authentifizierung verlangen Wenn die Benutzer Ihrer Webseite einen Account erstellen sollen, sollten Sie unbedingt auf Multifaktor-Authentifizierung (MFA) bestehen. Ansonsten ist (Security-)Ärger vorprogrammiert. Bei der Implementierung einer MFA-Lösung sollten Sie Folgendes beachten: Der Benutzer sollte eine Applikation nutzen, um ein Einmalpasswort (One-Time Password; OTP) zu erstellen. Das ist die sicherste Methode, weil das OTP in diesem Fall nicht abgefangen werden kann. Darüber hinaus können auch Passwortmanager zu OTP-Zwecken genutzt werden – und den gesamten Prozess automatisieren. Die nächstbeste Option besteht darin, das OTP per E-Mail zu versenden. Die sind immerhin schwieriger abzufangen als Textnachrichten. Nur wenn keine der genannten Methoden in Frage kommt, sollten die Benutzer OTPs per SMS erhalten. Diese Methode ist nicht sicher – auch weil fähige Cyberkriminelle sie leicht fälschen können. 5. User bei Bedarf Passwörter anzeigen lassen Kennwörter sollten selbstverständlich standardmäßig bei der Eingabe durch den Benutzer maskiert werden. Die Option, die eingegebene Zeichenfolge sichtbar zu machen, ist dennoch wichtig. Fehlt sie, sorgt das für unzufriedene Benutzer. Authentifizierungs-Don’ts Kommen wir nun zu den Dingen, die Sie als Entwickler in Bezug auf Authentifizierung unbedingt unterlassen sollten. 1. Benutzerkennwörter speichern Es sollte eigentlich selbstverständlich sein, die Kennwörter von Benutzer unter keinen Umständen in Ihrer Datenbank zu speichern. Stattdessen sollte eine Salted- und Hashed-Version des Passworts gespeichert und die Werte bei jedem Login abgeglichen werden. Und sollten Benutzer ihr Passwort vergessen, lassen Sie sie ein neues erstellen. Existierende per E-Mail zu verschicken, kommt einer Einladung für kriminelle Hacker gleich. 2. Komplexe Passwörter verlangen Dieser Punkt mag auf den ersten Blick kontraintuitiv wirken. Dennoch sollten Sie möglichst davon absehen, Ihren Benutzern zu strenge Passwortanforderungen aufzuerlegen und sie so dazu zu zwingen, Zahlen, Sonderzeichen sowie Groß- und Kleinbuchstaben zu verwenden. Eine Mindestlänge von zwölf Zeichen ist ausreichend. Anderenfalls steigt die Wahrscheinlichkeit, dass die Passwörter wegen ihrer (generischen) Komplexität: entweder vergessen, oder notiert werden. Dieser XKCD-Comic bringt es auf den Punkt. 3. OTPs nutzen, die länger als sechs Zeichen sind Sechs Zeichen sind für OTP-Links die Obergrenze – Sie sollten eher kürzere in Betracht ziehen. Unter keinen Umständen sollten Sie dieses Maß überschreiten, weil damit die Wahrscheinlichkeit steigt, dass die User die OTPs nicht im Gedächtnis behalten können. 4. Sicherheitsfragen verwenden Verzichten Sie auf die sogenannten „Sicherheitsfragen“. Die sind vor allem nervig. Und um die richtigen Antworten auf sie zu ermitteln, reicht meist schon eine ordinäre Social-Media-Recherche. 5. Anmeldeversuche einschränken Sehen Sie unbedingt davon ab, Benutzerkonten nach zwei oder drei Anmeldeversuchen zu sperren. Das Einzige, was Sie damit bewirken, ist eine verheerende User Experience. 6. Benutzer zwingen, ihr Passwort zu ändern Benutzer dazu zu zwingen, ihre Passwörter nach einem willkürlichen Zeitraum zu ändern, trägt nicht das Geringste dazu bei, die Sicherheit zu optimieren. In der Praxis führt das meist nur dazu, dass die Benutzer eine weitere Zahl an das Ende ihres existierenden Kennworts anhängen. Sie wollen weitere interessante Beiträge zu diversen Themen aus der IT-Welt lesen? Unsere kostenlosen Newsletter liefern Ihnen alles, was IT-Profis wissen sollten – direkt in Ihre Inbox!

Authentifizierungs-How-to für Entwickler​

Benutzer zu authentifizieren, ohne sie dabei zu irritieren – darauf kommt es für Softwareentwickler an. Natalya Kosarevich | shutterstock.com Webseiten, die sich an individuelle User anpassen sollen, müssen diese authentifizieren. Softwareentwicklern kommt in diesem Zusammenhang die Aufgabe zu, diesen Prozess so reibungslos und sicher wie möglich zu gestalten. Dabei können alle möglichen Fragen und Probleme auftauchen, denn Devs müssen: Benutzerdaten angemessen schützen, die User dazu bringen, gute Passwörter zu wählen, davon ausgehen, dass diese vergessen werden, und damit rechnen, dass sie wahrscheinlich auch nicht wirklich sicher sind.   Die Frage, ob man Authentifizierungslösungen dabei lieber kaufen oder selbst aufsetzen sollte, stellt sich nicht: Ähnlich wie beim Thema Verschlüsselung ist Letzteres nicht zu empfehlen. Inzwischen steht zudem eine Vielzahl ausgereifter Lösungen von diversen Anbietern zur Verfügung, die sowohl einfach zu implementieren sind als auch akribisch mit Security-Updates versorgt werden. Kompromisse eingehen müssen Developer hingegen oft, wenn es darum geht, Sicherheit und (gute) User Experience auszubalancieren. Zu diesem Zweck bieten die meisten Drittanbieterlösungen diverse Optionen und Funktionen – es liegt also vor allem an Ihnen, diese richtig einzusetzen.   Im Folgenden werfen wir einen Blick auf die Dos und Don’ts der Authentifizierung für Softwareentwickler. Authentifizierungs-Dos Softwareentwickler tun gut daran, die folgenden fünf Punkte umzusetzen, wenn sie Authentifizierungslösungen implementieren. Die Punkte 1 bis 3 ermöglichen Ihnen dabei eine benutzerfreundliche und sichere Authentifizierung, ohne den Benutzern ein Passwort oder einen weiteren Account abzuverlangen. 1. Passkeys verwenden Bei Passkeys handelt es sich um eine relativ neue Technologie – entsprechend viele Missverständnisse umgeben sie noch. Sind diese ausgeräumt, sollten Passkeys dank ihrer Sicherheit und Benutzerfreundlichkeit Ihre erste Wahl in Sachen Authentifizierungsmethode sein. Um sie zu implementieren, ist – unabhängig vom Anbieter – oft nicht mehr nötig, als Ihre Applikation um eine Webkomponente zu ergänzen. Die Kombination aus biometrischer Sicherheit und Public/Private-Key-Encryption kommt bei der überwältigenden Mehrheit der Benutzer gut an. Oder kennen Sie jemanden, der lieber ein 48-stelliges Passwort über eine Smartphone-Tastatur in seine Banking-App eintippt, wenn er stattdessen auch einfach Face-ID oder einen Fingerabdruck-Scanner verwenden kann? Eben.    2. OAuth nutzen Manche User sind bekanntermaßen ein wenig eigen – auch wenn es um Authentifizierungsmethoden geht. Deswegen sollten Sie nach Passkeys auch OAuth implementieren. Das Autorisierungsprotokoll wird am häufigsten über Schaltflächen wie „Mit Google anmelden“ eingesetzt. Benutzer schätzen OAuth, weil sie sich damit auf Webseiten anmelden können, ohne ein Passwort eingeben oder gar ein neues Konto erstellen zu müssen. Als Entwickler können Sie die Logins diverser populärer Services und Webseiten einbinden. Neben Google gehören dazu beispielsweise: Apple, Facebook, Microsoft und GitHub. 3. Magic Links einsetzen Eine weitere Möglichkeit, Logins bereitzustellen, führt über sogenannte Magic Links. Dabei handelt es sich um Links zu Ihrer Webseite, die den Benutzern in der Regel per SMS oder per E-Mail zugehen. Für den Login reicht ein Klick darauf. Der Vorteil bei dieser Lösung besteht darin, dass der Magic Link nur für den jeweiligen Benutzer sichtbar ist – und nach einem Zeitlimit abläuft. Der Nachteil: Die User müssen Ihre Website verlassen, um ihren Posteingang zu checken. 4. Multifaktor-Authentifizierung verlangen Wenn die Benutzer Ihrer Webseite einen Account erstellen sollen, sollten Sie unbedingt auf Multifaktor-Authentifizierung (MFA) bestehen. Ansonsten ist (Security-)Ärger vorprogrammiert. Bei der Implementierung einer MFA-Lösung sollten Sie Folgendes beachten: Der Benutzer sollte eine Applikation nutzen, um ein Einmalpasswort (One-Time Password; OTP) zu erstellen. Das ist die sicherste Methode, weil das OTP in diesem Fall nicht abgefangen werden kann. Darüber hinaus können auch Passwortmanager zu OTP-Zwecken genutzt werden – und den gesamten Prozess automatisieren. Die nächstbeste Option besteht darin, das OTP per E-Mail zu versenden. Die sind immerhin schwieriger abzufangen als Textnachrichten. Nur wenn keine der genannten Methoden in Frage kommt, sollten die Benutzer OTPs per SMS erhalten. Diese Methode ist nicht sicher – auch weil fähige Cyberkriminelle sie leicht fälschen können. 5. User bei Bedarf Passwörter anzeigen lassen Kennwörter sollten selbstverständlich standardmäßig bei der Eingabe durch den Benutzer maskiert werden. Die Option, die eingegebene Zeichenfolge sichtbar zu machen, ist dennoch wichtig. Fehlt sie, sorgt das für unzufriedene Benutzer. Authentifizierungs-Don’ts Kommen wir nun zu den Dingen, die Sie als Entwickler in Bezug auf Authentifizierung unbedingt unterlassen sollten. 1. Benutzerkennwörter speichern Es sollte eigentlich selbstverständlich sein, die Kennwörter von Benutzer unter keinen Umständen in Ihrer Datenbank zu speichern. Stattdessen sollte eine Salted- und Hashed-Version des Passworts gespeichert und die Werte bei jedem Login abgeglichen werden. Und sollten Benutzer ihr Passwort vergessen, lassen Sie sie ein neues erstellen. Existierende per E-Mail zu verschicken, kommt einer Einladung für kriminelle Hacker gleich. 2. Komplexe Passwörter verlangen Dieser Punkt mag auf den ersten Blick kontraintuitiv wirken. Dennoch sollten Sie möglichst davon absehen, Ihren Benutzern zu strenge Passwortanforderungen aufzuerlegen und sie so dazu zu zwingen, Zahlen, Sonderzeichen sowie Groß- und Kleinbuchstaben zu verwenden. Eine Mindestlänge von zwölf Zeichen ist ausreichend. Anderenfalls steigt die Wahrscheinlichkeit, dass die Passwörter wegen ihrer (generischen) Komplexität: entweder vergessen, oder notiert werden. Dieser XKCD-Comic bringt es auf den Punkt. 3. OTPs nutzen, die länger als sechs Zeichen sind Sechs Zeichen sind für OTP-Links die Obergrenze – Sie sollten eher kürzere in Betracht ziehen. Unter keinen Umständen sollten Sie dieses Maß überschreiten, weil damit die Wahrscheinlichkeit steigt, dass die User die OTPs nicht im Gedächtnis behalten können. 4. Sicherheitsfragen verwenden Verzichten Sie auf die sogenannten „Sicherheitsfragen“. Die sind vor allem nervig. Und um die richtigen Antworten auf sie zu ermitteln, reicht meist schon eine ordinäre Social-Media-Recherche. 5. Anmeldeversuche einschränken Sehen Sie unbedingt davon ab, Benutzerkonten nach zwei oder drei Anmeldeversuchen zu sperren. Das Einzige, was Sie damit bewirken, ist eine verheerende User Experience. 6. Benutzer zwingen, ihr Passwort zu ändern Benutzer dazu zu zwingen, ihre Passwörter nach einem willkürlichen Zeitraum zu ändern, trägt nicht das Geringste dazu bei, die Sicherheit zu optimieren. In der Praxis führt das meist nur dazu, dass die Benutzer eine weitere Zahl an das Ende ihres existierenden Kennworts anhängen. Sie wollen weitere interessante Beiträge zu diversen Themen aus der IT-Welt lesen? Unsere kostenlosen Newsletter liefern Ihnen alles, was IT-Profis wissen sollten – direkt in Ihre Inbox! 

Nach oben scrollen