• Facebook
  • Google+
  • Twitter
  • XING
22.06.2009

Passwörter nicht mehr maskieren

Die Usability leidet, wenn die Nutzer Passwörter eintippen und als Feedback nur eine Reihe von Punkten sehen. In der Regel erhöht das Maskieren von Passwörtern noch nicht einmal die Sicherheit, dafür kostet es Sie Geschäfte wegen der Login-Fehler.

 

by Jakob Nielsen (deutsche Übersetzung) - 23.06.2009

 

Es ist Zeit, die meisten Passwörter in Klartext anzuzeigen, wenn die Nutzer sie eintippen. Ein Feedback zu geben und den Status des Systems zu visualisieren war stets eine der grundlegenden Usability-Richtlinien. Wenn man immer die gleichen Punkte anzeigt, während die Nutzer komplizierte Codes eingeben, verstösst man definitiv dagegen.

Die meisten Websites (und viele andere Anwendungen) maskieren Passwörter, wenn die Nutzer sie eintippen und verhindern auf diese Weise theoretisch einen Missbrauch durch Leute, die anderen über die Schulter schauen. Natürlich kann ein versierter Krimineller einfach auf die Tastatur schauen und sich merken, welche Tasten gedrückt werden. Das Maskieren von Passwörtern schützt also noch nicht einmal vollständig vor Schnüfflern.

Wichtiger noch: In der Regel gibt es niemanden, der Ihnen über die Schulter schaut, während Sie sich bei einer Website einloggen. In der Regel sitzen Sie ganz alleine in Ihrem Büro und leiden dort unter verminderter Usability, nur um sich vor einer imaginären Gefahr zu schützen.

Die Kosten des Maskierens

Das maskieren von Passwörtern hat sich bei unseren Tests mit mobilen Geräten als besonders unangenehmes Usability-Problem erwiesen, da das Tippen dort schwierig ist und Tippfehler häufig vorkommen. Aber das Problem existiert genauso für PC-Nutzer.

Wenn Sie es den Nutzern erschweren, Passwörter einzugeben, erzeugen sie zwei Probleme - und eins davon beeinträchtigt in Wirklichkeit die Sicherheit:

  • Die Nutzer machen mehr Fehler, wenn sie nicht sehen können, was sie eintippen, während sie ein Formular ausfüllen. Deshalb fühlen sie sich unsicherer. Diese doppelte Beeinträchtigung des Nutzererlebnisses bewirkt, dass die Leute mit grösserer Wahrscheinlichkeit aufgeben und sich gar nicht erst in Ihre Website einloggen, wodurch Ihnen Geschäfte verloren gehen. (Oder bei Intranets, zu mehr Anrufen in der Zentrale.)
  • Je unsicherer sich die Nutzer beim Eintippen von Passwörtern fühlen, desto wahrscheinlicher ist es, dass sie entweder ein besonders einfaches Passwort verwenden oder das Passwort aus einer Datei auf ihrem Rechner kopieren und einfügen. Beide Verhaltensweisen führen zu einem Verlust an Sicherheit.

Sicher, manchmal laufen Nutzer wirklich Gefahr, dass Dabeistehende ihr Passwort ausspionieren, zum Beispiel in einem Internet-Café. Deshalb empfiehlt es sich, ihnen eine Checkbox anzubieten, mit der sie die maskierte Passworteingabe einschalten können. Bei Anwendungen mit hohem Risiko wie Bankkonten kann man diese Checkbox in der Voreinstellung angehakt lassen. In Fällen, in denen es eine Spannung zwischen Sicherheit und Usability gibt, sollte manchmal auch die Sicherheit gewinnen.

In den meisten Fällen allerdings werden die Nutzer es zu schätzen wissen, wenn sie beim Eintippen von Passwörtern Klartext als Response haben. Ihrem Geschäft wird das nützen, und sogar die Sicherheit wird sich ein wenig verbessern.

Überholtes Design abschaffen

Das Maskieren von Passwörtern hat sich nur deshalb verbreitet, weil es erstens einfach zu realisieren ist und zweitens in den frühen Tagen des Internets üblich war. In dieser Hinsicht ähnelt es einem anderen Usability-Problem - den "Zurücksetzen"-Knöpfen in Formularen, die ebenfalls verschwinden sollten.

Im Allgemeinen empfehle ich, an Konventionen festzuhalten. Tun Sie, was die Nutzer erwarten, dann können Sie ihren Verstand darauf konzentrieren, Ihre Produkte und Angebote zu verstehen, statt mit der Nutzeroberfläche kämpfen zu müssen.

Aber maskierte Passwörter und "Zurücksetzen"-Knöpfe sind Dinge, nach denen die Nutzer nicht aktiv Ausschau halten. Ein Wegfall dieser Funktionen wird keine Verwirrung erzeugen und auch nicht das, wodurch sie ersetzt werden: in dem einen Fall tritt Klartext als neue Funktion auf, in dem anderen eine leere Fläche, dort, wo vorher der Knopf "Meine Arbeit zerstören" zu sein pflegte.

Das ist etwas ganz anderes als die Beseitigung von Dingen, nach denen die Nutzer suchen, oder die Einführung von etwas, das sie nicht verstehen.

Lasst uns das Internetgewebe bereinigen und Zeug wegschaffen, das nur deshalb da ist, weil es immer schon da war.

 

© Deutsche Version von Jakob Nielsens Alertbox. Institut für Software-Ergonomie und Usability AG. Alle Rechte vorbehalten.

Kommentare auf diesen Beitrag

    Keine Kommentare

Kommentar hinzufügen

Die mit * gekenzeichneten Felder sind zwingend auszufüllen