Sicherheit oder Usability?

Foto Schloss

Darf bei keinem Beitrag über Sicherheit fehlen: das Foto eines Schlosses. Dieses hat 10.000 Kombinationen, wäre es also in 2 Min. geknackt.

Das Thema Sicherheit ist in letzter Zeit immer häufiger in den Medien. Wichtigster Grund sind die Enthüllungen von Snowden rund um die Spionagetätigkeit der NSA. Aber auch spektakuläre Einbrüche in Computersysteme, bei denen teilweise Millionen von Passwörtern gestohlen werden, sorgen immer wieder für Schlagzeilen.

Und dabei wird deutlich, wie ungeeignet das bestehende Passwort-System ist, um wirklich Sicherheit zu erreichen. Das Problem ist zu großem Teil auch eines der Usability. Und jeder, der Websites, Programme oder irgendein System betreibt, das eine Identifizierung der Nutzer braucht, ist Teil des Problems.

Verpflichtung für Site-Betreiber

Wer auch nur eine einfache Website hat, der ist potenzielles Opfer von Hackern. Es gibt automatisierte Scripts, die jeder mit ganz grundlegenden Computerkenntnissen installieren kann, die dann den ganzen Tag nichts anderes tun, als Websites zu überprüfen, ob sie mangelhaft geschützt sind. Findet ein solches Script Ihre schlecht geschützte Site, wird sie schnell zu einem Verbreitungsdienst für Viren oder einem Ausgangspunkt für Angriffe auf andere Computer.

Schlecht geschützt heißt in den meisten Fällen: Mit einem mangelhaften Passwort geschützt. Was mangelhaft heißt, dazu gleich mehr. Festzuhalten ist: Jeder, der ein Passwort vergibt oder gar eine größere Site betreut, ist in der Verantwortung. Würden alle diese ernst nehmen, hätten Verbrecher, Hacker und NSA ein weniger leichtes Leben.

Verpflichtung für Konzepter & Designer

Konzepter und Interaktions-Designer sind in einer ebenso großen Verantwortung wie die Betreiber der Sites. Natürlich liegt die technische Sicherheit in den Händen der Programmierer. Aber wenn in Konzept und Gestaltung die Passwort-Interaktion nicht benutzerfreundlich umgesetzt ist, dann hebeln Sie damit die beste Technik aus.

Theoretische vs. praktische Sicherheit

Ist ein System nicht gut benutzbar, umgehen es die Nutzer. Und für das klassische Nutzername-Passwort-System, das fast überall Standard ist, gilt das in hohem Maße.
Ein sehr überzeugender Beweis: Die Passwortliste, die bei dem Einbruch in den Server des Photoshop- und Acrobat-Herstellers Adobe im Oktober 2013 gestohlen wurde. 130 Millionen Passwörter sind darauf, man kann sagen, eine ordentliche Stichprobe, um die Qualität der Passwörter zu prüfen, die Nutzer in echten Anwendungsfällen vergeben.

Die zehn häufigsten Passwörter waren:

  1. 123456
  2. 123456789
  3. password
  4. adobe123
  5. 12345678
  6. qwerty
  7. 1234567
  8. 111111
  9. photoshop
  10. 123123

Das Passwort auf Platz eins nutzten fast zwei Millionen Nutzer, also 1,5 Prozent. Die häufigsten zehn Passwörter nutzen 2,7 Prozent. Geht man die Liste weiter durch, wird die Qualität der Passwörter nicht viel besser: „adobe“, „iloveyou“, „sunshine“ und „chocolate“ sind vorn mit dabei.

Das zeigt, dass die Menschen zu faul sind, sich Passwörter zu merken, die lang und komplex sind.

Ein großes Problem dabei: Solche Listen finden Eingang in die Knack-Scripts der Hacker und so werden die häufigsten Passwörter am schnellsten geknackt – auf jeder Site. Wer „123456“ als Passwort verwendet, der braucht nur darauf warten, bis ein Hacker bei der Site vorbeischaut – selbst der unerfahrenste hat dieses Passwort in Sekunden erraten.

Screenshot Website mit Passwörtern

Wer nur ein bisschen sucht, findet schnell Listen mit Millionen von Passwörtern. In Accounts auf Websites kommt man damit vermutlich nirgends mehr, aber man lernt, wie reale Nutzer Passwörter vergeben.

Praxistipps

Foto PIN im Geldbeutel

Inzwischen hoffentlich ausgestorben: die PIN im Geldbeutel. Das digitale Äquivalent dazu ist, das gleiche Passwort für mehrere Sites zu nutzen.

Was also tun in der Praxis? Die traditionelle, sicherheitsorientierte Antwort:

1) Nutzer zwingen, sichere Passwörter zu vergeben – die sichere Lösung.

Der Haken dabei: Auch dieses System werden die Nutzer umgehen. Sie werden das Passwort mit Post-it an ihren Monitor kleben, es in einer normalen Textdatei speichern oder – mit das Gefährlichste – sie werden es auf mehreren Sites verwenden. Wird eine Site gehackt, haben die Einbrecher also gleich auch den Schlüssel zu E-Mail-Konto, Facebook-Account und vielleicht sogar zum Onlinebanking.

Daher kommt eigentlich nur Lösung 2 in Frage:

2) Zusammen mit dem Nutzer eine hinreichend sichere Lösung suchen.

Erklären

Wenn der Nutzer nicht einsieht, warum er sich die Mühe machen sollte, ein komplexes System zu nutzen, wird er es entweder nicht nutzen oder es umgehen. Daher sollten Sie soweit wie möglich sein Problembewusstsein wecken.

Bei internen Anwendungen geht das leichter – die Nutzer eines Intranets können Sie gut informieren. Haben Sie aber eine Site, die sich an breite Nutzerschichten richtet, wird es schwieriger. Wie immer bei Usability-Überlegungen müssen Sie einen guten Kompromiss finden.

Geht es um etwas so Wichtiges wie einen E-Mail-Account, erklären Sie mehr, als wenn es nur um eine Site geht, auf der man einen Termin abstimmt oder ein ohnehin öffentlich zugängliches Foto hochlädt.

Screenshot Google Anmeldung Konto

Google gibt per Kontextmenü Tipps zur Passwortwahl.

Nur ein Feld

Viele Sites zwingen die Nutzer, ihr Passwort zweimal einzugeben. Das soll sicherstellen, dass man sich nicht vertut. Die meisten Nutzer umgehen das, indem sie das Passwort einkopieren in beide Felder. Damit ist diese Sicherheitsmaßnahme sinnlos.

Und Sie müssen sowieso eine Möglichkeit vorsehen, das Passwort zurückzusetzen für Nutzer, die zwar zweimal das gleiche Passwort eingegeben haben, es sich aber falsch gemerkt haben.

Verzichten Sie also auf das Feld zur Passwortwiederholung, das macht Ihre Registrierung weniger mühsam und erhöht deren Usability.

Keine Punkte, es sei denn, man braucht Punkte

Fast alle Sites verstecken die Eingaben des Nutzers, indem sie an deren Stelle Punkte („bullets“) anzeigen. Das ist nur dann sinnvoll, wenn der Nutzer an einem öffentlich einsichtigen Ort ist. In fast allen Fällen sitzt er aber allein am Schreibtisch, auf dem Sofa oder an einer anderen Stelle, an der ihn niemand so beobachten kann, dass er das eingetippte Passwort lesen kann.

Deshalb zeigen Sie dem Nutzer, was er eingibt. Wenn Sie unbedingt meinen, können Sie noch eine Möglichkeit vorsehen, die Eingabe zu verstecken.

Nicht überzeugt? Darüber wird schon seit Jahren diskutiert: The Problem with Passwords

Und hier sieht man, wie es viele andere machen: Gallery of Login-Screens

Screenshot nutzerfreundliche Passworteingabe

So sieht eine Passworteingabe aus, bei dem der Nutzer entscheidet, ob das Passwort verdeckt wird.

Keine sinnlosen Sicherheitsfragen

Sicherheitsfragen wie „Was ist der Mädchenname Ihrer Mutter“ sind nicht sicher. Über Facebook oder einen geschickten Anruf bei einem Bekannten kann ein Hacker solche Infos schnell herausbekommen.

Sehen Sie also nur Fragen vor, deren Antwort tatsächlich nur der legitime Nutzer wissen kann. Oder verzichten Sie ganz auf solche Mechanismen. Alternativen sind z.B. Codes, die per SMS an das Handy des Nutzers geschickt werden.

Keine E-Mails mit Passwort

Apropos Passwort verschicken: Jede normale E-Mail kann von allen gelesen werden, über deren Server die Mail auf ihrem Weg zum Empfänger läuft. Verschicken Sie daher nie die URL zur Anmeldeseite, Nutzername, und Passwort in einer einzigen Mail.

Hilfe beim Vergeben von sicheren Passwörtern

Unterstützen Sie die Nutzer dabei, sichere Passwörter zu vergeben. Dazu gibt es komplexe Scripts, die eine scheinbare Sicherheit bewerten. Ihr Problem: Auch völlig unsichere Passwörter wie „Fußball7“ geben hier fälschlicherweise gute Werte. Wichtig ist also, immer mit zu kommunizieren, dass es sich nur um einen Anhaltswert handelt.

Screenshot Feedback Passwortqualität

Manche Systeme geben Feedback, wie „sicher“ das gewählte Passwort ist.

Eigenschaften sicherer Passwörter

Ein sicheres Passwort sieht so aus:

  • Es ist laaaaaaaaang – mindestens 12 Zeichen
  • Es enthält mindestens einen Großbuchstaben
  • Es enthält mindestens einen kleinbuchstaben
  • Es enthält mindestens 1 Zahl
  • Es enthält mindestens ein Sonder#zeichen

Benutzbare Passwörter

Passwörter, die man sich sowohl gut merken kann, und die auch einigermaßen komfortabel einzugeben sind, konzentrieren sich auf die Länge. Denn je länger ein Passwort, desto länger braucht ein Script, es zu knacken. Und komplexere Passwörter sind immer schlechter zu merken, längere dagegen nicht unbedingt.

Ein Trick ist daher, Passwörter zum Beispiel aus vielen Wörtern zusammenzusetzen, die möglichst selten sind (je mehr Wörter, je besser):

Wer weiß, was 7 Zwerge und Zerberus gemein haben.

Das ist viel, viel sicherer als
geh3im

Oder man merkt sich einen Satz mit vielen Wörtern und nutzt nur deren Anfangsbuchstaben und die Satzzeichen:
Ich bin mir ganz sicher, dass mein Passwort sehr gut ist - vor allem Montags um 7.

Das wäre dann das Passwort:
Ibmgs,dmPsgi-vaMu7.

Nachdem das Thema jeden betrifft, hat jeder eine Meinung dazu – ich bin gespannt auf Ihre. Konnte ich Sie überzeugen?

16 Kommentare zu „Sicherheit oder Usability?

  1. Jan Pohlmann

    Super Artikel! Es vergeht fast kein Tag, an dem ich mich nicht über völlig sinnfreie und eher konterproduktive Sicherheitsmaßnahmen auf Websites aufrege. Gerade die zweite Passworteingabe und das verstecken des Passworts sind so Dinge die längst der Vergangenheit angehören sollten…

    Das Verstecken der Passwörter muss man aber leider auch dem W3C in die Schuhe schieben, da sie diese Feldart verbockt haben. Wenn sich nur mal die Browserhersteller ein Herz fassen und es anders implementieren würden. Microsoft ist mit dem IE zumindest einen Schritt in die richtige Richtung gegangen – dort kann man das Passwort bei Bedarf im Klartext einblenden lassen.

  2. Kevin

    Hi Jens,

    prima Artikel. Passwörter sind sicherlich ein wichtiger Teil von Software.

    Zu dem XKCD-Comic kann ich dir noch den Blogbeitrag der Dropbox-Entwickler empfehlen: https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/
    Die haben sich auch m.M.n. sehr gute Gedanken zu starken Passwörtern gemacht.

    Von meiner Seite aus, habe ich auch noch ein zusätzliches Manko in Bezug auf Passwörtern festgestellt (was aber bezüglich Passwort-Vergabe manchmal von Vorteil ist): So unterschiedlich die Webdienste sind, so unterschiedlich sind auch die Anforderungen an ein sicheres Passwort. Bei Anbieter A müssen Sonderzeichen und/oder Umlaut im Passwort enthalten sein, bei Anbieter B dürfen nur spezielle Zeichen enthalten sein (um welche es sich handelt, erfährt man dann auch erst nach der Serverseitigen Evaluation des Passwort) und bei Anbieter C dürfen keine Sonderzeichen vorkommen und das Passwort darf nicht länger als drei Zeichen sein.

    Dies kann auch nebenbei noch ganz andere Effekte haben: Beim Wechsel von Finanzsoftware A nach Finanzsoftware B hatte ich Probleme bei HBCI mit Dateiverschlüsselung. Das Problem lag eben darin, dass beide Hersteller andere Sonderzeichen in dem Passwort für die Datei zugelassen haben und ich tatsächlich ein Sonderzeichen erwischt habe, dass von Software A akzeptiert wurde, von Software B leider nicht. Schade halt.

    Bezüglich deiner Formulierung „Verschicken Sie daher nie die URL zur Anmeldeseite, Nutzername, und Passwort in einer einzigen Mail.“ wundere ich mich, ob du damit vorschlagen willst zwei unterschiedliche E-Mails (evtl. zu unterschiedlichen Zeitpunkten zu versenden oder ob in einer gesendeten E-Mail die Login-URL bzw. das Passwort weggelassen werden sollen.
    Meiner Meinung nach zeugt es von sehr schlechter Sicherheit wenn ein Anbieter zwar auf der Anmeldeseite ein starkes Passwort verlangt, auf der anderen Seite aber das endlich passend ausgewählte Passwort im Klartext per E-Mail versendet.

    Gruß
    Kevin

    1. Jens Jacobsen Artikelautor

      Hi Kevin,

      danke für den wertvollen Link – der Artikel bei Dropbox ist wirklich technisch sehr fundiert und praxisorientiert.

      Zu deiner Frage: Du hast natürlich Recht, Passwörter per Mail zu verschicken ist immer eine schlechte Idee, und für einen Webdienst kommt das eigentlich nicht in Frage. Ich wollte nur klar machen, dass es die allerschlechteste Idee ist, auch gleich Nutzername und URL mitzuliefern.

      Gruß,
      Jens

  3. Pingback: Top-Themen der letzten 30 Tage | Usabilityblog.de

  4. Tobias

    Und ein Artikel der ct, warum 123456 als Passwort auch mal OK ist. 🙂
    http://www.heise.de/security/artikel/Warum-123456-als-Passwort-okay-ist-2039860.html

    „Sorgen mache ich mir nicht um die Nutzer, die bei Adobe ein Wegwerf-Passwort eingesetzt haben. Die Gefahr, dass die das gleiche Passwort für ihr Online-Shopping oder ihr E-Mail-Konto verwenden, ist gering. Probleme haben vielmehr die, die eines ihrer kostbaren, schwer zu knackenden Passwörter an Adobe verschwendet haben. Denn die geben damit unter Umständen etwas preis, was ihre wichtigen Konten gefährdet.“

  5. Edward Snowden

    Gefährliches Halbwissen ist das hier…
    Diese Vereinfachungen sind ja schön für die Usability, aber aus Sicherheitspespektive sind sie teilweise sehr bedenklich. Wenn der Nutzer keinen Bock hat sich zu konzentrieren oder sich etwas zu merken, kann sich gleich als Versuchskaninchen der Totalüberwachung einschreiben bzw. der muss mit den Konzequenzen seines Handelns leben. Wer Sicherheit ohne Aufwand will, der hat den Verlust zur Realität verloren.
    Schreibt mal einen Sicherheitsexperten zu diesem Thema an.

    1. Jens Jacobsen Artikelautor

      Hallo „Edward“, das Problem mit vielen Sicherheitsexperten ist eben, dass sie die Usability außer acht lassen vor lauter Sicherheit. Das führt dann eben zu den Zetteln mit PINs im Geldbeutel. Daher muss man immer einen Kompromiss finden – was ich rüberbringen wollte ist, dass User aus einem absolut sicheren System ein sehr unsicheres machen, wenn man sie bei der Konzeption der Sicherheitsmaßnahmen außer Acht lässt.

  6. Pingback: Einfacher zu sicheren Passwörtern | benutzerfreun.de

  7. Üms

    Sehr schöne Zusammenfassung! Wenn sich mehr Seitenbetreiber an diese Tipps halten würden, hätten wir bei Usability und Sicherheit sicher tatsächlich einiges gewonnen. Leider scheitert es bei vielen selbst beim Selbstverständlichen, etwa der Regel „Keine Passwörter per Mail versenden“…

  8. Pingback: 7 Ansätze für mehr Usability, IT-Security und Privacy |

    1. Jens Jacobsen Artikelautor

      Hallo Steffen, danke für den Link zu deinem Artikel – sehr lesenswert! Besonders der Vergleich von Verschlüsselung mit Türschlössern, die ja auch nie 100prozentig sicher sein können, gefällt mir gut!

  9. Pingback: Passwort-Abfrage - aber richtig: Good Practices für Unterstützung beim Finden eines sicheren Passwortes - Usabilityblog.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *