Maskierte Passwörter, ist das wirklich Unsinn?

Wenn du dein Passwort eingibst, dich zum dritten Mal vertippt hast und nicht weißt warum, dann denkst du: Maskierte Passwörter, dass ist Unsinn.
Ich behaupte: Ein Nutzer, der sein Passwort eingibt und als einzige Rückmeldung eine Reihe von Bullet-Punkten erhält, hat ein schlechtes Nutzungserlebnis. Kritiker werden jetzt sofort das Argument Sicherheit ins Feld führen, aber ist das wirklich ein Problem?

Eine kurze Inhaltsübersicht bevor es an das Eingemachte geht:

  1. Maskierte Passwörter und die User Experience
  2. Sichere Passwort-Eingabe
  3. Die Kosten gescheiterter Anmeldeversuche
  4. Empfehlungen zu weiterführenden Links

Maskierte Passwörter und die User Experience

Kennst du die wichtigsten Usability Prinzipien? Eines dieser Prinzipien verlangt, dass das System (z.B. deine Webseite) dem Nutzer (z. B. mir) immer eine zeitnahe, eindeutige Rückmeldung darüber geben sollte, was es gerade tut. Wie steht es um unseren Nutzer, der gerade sein Passwort eintippt und als Rückmeldung eine Reihe von uneindeutigen Bullet-Punkten erhält? Ist er wirklich gut informiert und ohne Zweifel in der Lage seine Aufgabe fehlerfrei zu erfüllen? Das kann ich mir nicht vorstellen.

Macht endlich Schluss mit maskierten Passwörtern! Es ist an der Zeit Passwörter während der Eingabe in Klartext darzustellen.

Und der Sicherheitsaspekt? Ist zum Beispiel der berühmte Blick über die Schulter kein Argument für maskierte Passwörter? Nö!

Sichere Passwort-Eingabe

Sind maskierte Passwörter sicherer als Passwörter die in Klartext gezeigt werden? Wenn ich jemanden dabei beobachte wie er sein maskiertes Passwort eingibt, dann schaue ich auf die Tastatur und merke mir die gedrückten Tasten. Mal ganz ehrlich, wie oft kommt es vor das du beim Eingeben deines Passworts beobachtet wirst? In den allermeisten Fällen sitzt du doch ganz alleine vor deinem Rechner oder mit dem Tablet auf dem Sofa und ärgerst dich über die dämlichen Vertipper. Argument entkräftet!

Aus meiner Sicht bringen Passwörter, die als Klartext dargestellt werden, sogar einen Sicherheitsvorteil.

Wir Menschen neigen dazu den Weg des geringsten Widerstands zu gehen und wählen bei der komplexen Aufgabe ein Passwort blind festzulegen ein möglichst kurzes und leicht zu tippendes Wort. Das ist viel gefährlicher als ein im Klartext lesbares Passwort während du dich anmeldest! Kurze, einfache Passwörter sind mit einer Brute-Force Attacke schnell zu knacken, gegen Brute-Force Angriffe helfen am besten lange Passwörter, deren Komplexität spielt dabei eine untergordnete Rolle (siehe dazu auch den Smashing Magazine Artikel: Why Passphrases Are More User-Friendly Than Passwords).

Lange Passwörter wähle ich ungern, außer ich weiß, dass ich beim Anmelden keine Vertipper-Probleme habe. Auch hier unterstützen uns Passworteingabefelder die das Passwort als Klartext darstellen.

Der Zusammenhang zwischen nicht maskierten Passwörtern und der gewählten Passwortlänge bringt jedem Einzelnen und der Gemeinschaft der Internetnutzer einen klaren Sicherheitsvorteil. Dieser Sicherheitsvorteil wird für dich zu einem messbaren Kostenfaktor sobald dein Online Shop oder dein Service zum ersten Mal von einem Hackerangriff betroffen ist.

Die Kosten gescheiterter Anmeldeversuche

Neben den gerade erwähnten Kosten, die ein erfolgreicher Hackerangriff für dich bedeuten, müssen wir uns auch die Kosten mangelhafter User Experience vor Augen halten.

Für alle Shop Betreiber: Schau doch mal in dein Analytics-Tool und ermittele wieviele unerfolgreiche Bestandskunden-Logins du im vergangenen Jahr hattest. Für eine grobe Bewertung schlage ich vor diese Zahl zu halbieren und mit dem durchschnittlichen Warenkorbwert deines Shops multiplizieren. Als Ergebnis erhält du eine grobe Einschätzung welches Potential in einer Optimierung des Bestandskunden-Login schlummert.

Empfehlungen zu weiterführenden Links

  1. In seinem Artikel Showing Passwords on Log-In Screens zeigt Luke Wroblewski einige sehr gelungene Umsetzungsbeispiele.
  2. Smashing Magazine zu Innovative Techniques To Simplify Sign-Ups And Log-Ins

Fazit zum Thema: Maskierte Passwörter, ist das wirklich Unsinn?

Ich gebe zu diesen Artikel etwas provokativ verfasst zu haben, würdest du diese Zeile noch lesen, wenn ich es nicht getan hätte? Es gibt sicherlich noch immer Anwendungsfälle für die maskierte Passwörter Sinn machen, allerdings sollten wir uns im Einzelfall überlegen welches Interaktionsmuster aus Nutzersicht das richtige ist.

 

A.Schramm

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.