Passwörter nicht mehr maskieren

Die Usability leidet, wenn die Nutzer Passwörter eintippen und als Feedback nur eine Reihe von Punkten sehen. In der Regel erhöht das Maskieren von Passwörtern noch nicht einmal die Sicherheit, dafür kostet es Sie Geschäfte wegen der Login-Fehler.

by Jakob Nielsen (deutsche Übersetzung) – 23.06.2009

Es ist Zeit, die meisten Passwörter in Klartext anzuzeigen, wenn die Nutzer sie eintippen. Ein Feedback zu geben und den Status des Systems zu visualisieren war stets eine der grundlegenden Usability-Richtlinien. Wenn man immer die gleichen Punkte anzeigt, während die Nutzer komplizierte Codes eingeben, verstösst man definitiv dagegen.

Die meisten Websites (und viele andere Anwendungen) maskieren Passwörter, wenn die Nutzer sie eintippen und verhindern auf diese Weise theoretisch einen Missbrauch durch Leute, die anderen über die Schulter schauen. Natürlich kann ein versierter Krimineller einfach auf die Tastatur schauen und sich merken, welche Tasten gedrückt werden. Das Maskieren von Passwörtern schützt also noch nicht einmal vollständig vor Schnüfflern.

Wichtiger noch: In der Regel gibt es niemanden, der Ihnen über die Schulter schaut, während Sie sich bei einer Website einloggen. In der Regel sitzen Sie ganz alleine in Ihrem Büro und leiden dort unter verminderter Usability, nur um sich vor einer imaginären Gefahr zu schützen.

Die Kosten des Maskierens

Das maskieren von Passwörtern hat sich bei unseren Tests mit mobilen Geräten als besonders unangenehmes Usability-Problem erwiesen, da das Tippen dort schwierig ist und Tippfehler häufig vorkommen. Aber das Problem existiert genauso für PC-Nutzer.

Wenn Sie es den Nutzern erschweren, Passwörter einzugeben, erzeugen sie zwei Probleme – und eins davon beeinträchtigt in Wirklichkeit die Sicherheit:

Sicher, manchmal laufen Nutzer wirklich Gefahr, dass Dabeistehende ihr Passwort ausspionieren, zum Beispiel in einem Internet-Café. Deshalb empfiehlt es sich, ihnen eine Checkbox anzubieten, mit der sie die maskierte Passworteingabe einschalten können. Bei Anwendungen mit hohem Risiko wie Bankkonten kann man diese Checkbox in der Voreinstellung angehakt lassen. In Fällen, in denen es eine Spannung zwischen Sicherheit und Usability gibt, sollte manchmal auch die Sicherheit gewinnen.

In den meisten Fällen allerdings werden die Nutzer es zu schätzen wissen, wenn sie beim Eintippen von Passwörtern Klartext als Response haben. Ihrem Geschäft wird das nützen, und sogar die Sicherheit wird sich ein wenig verbessern.

Überholtes Design abschaffen

Das Maskieren von Passwörtern hat sich nur deshalb verbreitet, weil es erstens einfach zu realisieren ist und zweitens in den frühen Tagen des Internets üblich war. In dieser Hinsicht ähnelt es einem anderen Usability-Problem – den «Zurücksetzen»-Knöpfen in Formularen, die ebenfalls verschwinden sollten.

Im Allgemeinen empfehle ich, an Konventionen festzuhalten. Tun Sie, was die Nutzer erwarten, dann können Sie ihren Verstand darauf konzentrieren, Ihre Produkte und Angebote zu verstehen, statt mit der Nutzeroberfläche kämpfen zu müssen.

Aber maskierte Passwörter und «Zurücksetzen»-Knöpfe sind Dinge, nach denen die Nutzer nicht aktiv Ausschau halten. Ein Wegfall dieser Funktionen wird keine Verwirrung erzeugen und auch nicht das, wodurch sie ersetzt werden: in dem einen Fall tritt Klartext als neue Funktion auf, in dem anderen eine leere Fläche, dort, wo vorher der Knopf «Meine Arbeit zerstören» zu sein pflegte.

Das ist etwas ganz anderes als die Beseitigung von Dingen, nach denen die Nutzer suchen, oder die Einführung von etwas, das sie nicht verstehen.

Lasst uns das Internetgewebe bereinigen und Zeug wegschaffen, das nur deshalb da ist, weil es immer schon da war.

© Deutsche Version von Jakob Nielsens Alertbox. Institut für Software-Ergonomie und Usability AG. Alle Rechte vorbehalten.