• Facebook
  • Google+
  • Twitter
  • XING
26.04.2015

Die Passwort-Erstellung: 3 Möglichkeiten, sie zu vereinfachen

Wenn sie die Anforderungen an ein Passwort im Voraus offenlegen, es Nutzern ermöglichen, ihr Passwort sichtbar zu machen, und einen Stärkemesser anzeigen, können Designer die frustrierende UX der Passwort-Erstellung verbessern.

© Natalia Merzlyakova - Fotolia.com

 

by Katie Sherwin (deutsche Übersetzung) - 26.04.2015

 

Für die meisten Menschen ist der Ablauf der Passwort-Erstellung fast genauso, wie er es vor 20 Jahren war. Überlegen Sie kurz, wie aussergewöhnlich das ist, wenn man bedenkt, wie stark sich die Technologie in dieser Zeit verändert hat. Stellen Sie sich ein Handy aus dem Jahr 1995 vor: sein Gewicht, seine Antenne und seinen winzigen, dunklen Bildschirm. Denken Sie jetzt an moderne Smartphones mit grossen Touchscreens, HD-Kameras und Cloud-Verbindungen für unlimitierten Speicherplatz. Es ist definitiv ein komplett anders Erlebnis. Und dennoch ist es genauso schwer wie im Jahr 1995 (engl.), ein passendes Passwort zu finden und sich daran zu erinnern. (Passwort-Manager, die nach dem Zufallsprinzip Zeichenfolgen erstellen und sie im Namen des Nutzers speichern, und biometrische Identifikatoren, wie TouchID, sind Ausnahmen in einem ansonsten stagnierenden Bereich der Technologie zur Nutzerauthentifizierung.)

Wir haben die folgenden drei Probleme sicher alle auch schon erlebt. Indem diese Frustrationen vorweggenommen werden und unsere Formulare entsprechend erstellt werden, können wir das Problem verhindern, bevor es auftritt.

Zeigen Sie die Regeln an

Stellen Sie sich vor, dass Sie ein Paar Schuhe auf einer Website kaufen möchten, die Sie zuvor noch nie verwendet haben. An der Kasse müssen Sie ein Passwort erstellen. Es wird Ihnen ein übersichtliches weisses Kästchen präsentiert, das den Text "Geben Sie ein Passwort ein" enthält.

Sie entscheiden sich für Ihr altes, bewährtes Passwort hectorthecat und drücken Enter. Eine Fehlermeldung stoppt Sie: "Das Passwort muss mindestens einen Grossbuchstaben enthalten." Sie versuchen es erneut:

Hectorthecat

Fehlermeldung: "Das Passwort muss mindestens 1 Zahl enthalten."

Hectorthecat1

Fehlermeldung: "Das Passwort muss mindestens 1 Sonderzeichen enthalten."

Hectorthecat1%!

Fehlermeldung: "Keine Leerzeichen oder % oder ~ < >;"

Hectorthecat123!!!

Fehlermeldung: "Das Passwort darf keine aufsteigende oder absteigende Buchstaben- bzw. Zahlenfolge enthalten." (Diese Nachricht ist eine tatsächliche Fehlermeldung von mint.com.)

[Sie geben auf, schliessen das Fenster und kaufen die Schuhe woanders].

Wenn ein System die Anforderungen nicht im Voraus anzeigt, werden Nutzer im Prinzip gebeten, ein Spiel zu spielen, dessen Regeln geheim sind. Das ist weder lustig, noch fair.

Die Lösung: Legen Sie die Passwortanforderungen offen und stellen Sie sicher, dass der Nutzer sie die ganze Zeit sehen kann, während das Feld ausgewählt ist. Falls Sie einige der technischen Einschränkungen reduzieren können, müssen Sie weniger Text anzeigen und der Nutzer muss weniger Regeln verarbeiten, was die Passwort-Erstellung beschleunigt.

Es reicht nicht aus, einen Link zu den Passwortanforderungen einzubinden (die meisten Personen bemerken ihn nicht oder öffnen den Link nicht). Passwortanforderungen sollten sichtbar sein, während der Nutzer das Passwort erstellt. (Falls Sie daran denken, die Passwortanforderungen direkt in das Eingabefeld zu schreiben, tun Sie das nicht. Platzhalter in Formularfeldern sind aus vielen Gründen eine schlechte Idee.)

Passwortanforderungen immer sichtbar

In diesen Beispielen sind die Passwortanforderungen immer sichtbar. Die Designs variieren je nach Anforderung der Website, doch jedes dieser Beispiele kommuniziert dem Nutzer die Einschränkungen, bevor dieser zu Tippen beginnt: TrueBlue.JetBlue.com (oben), pplelectric.com (unten).

Passwortanforderungen bei klick ins Feld sichtbar

Diese Passwortanforderungen werden angezeigt, wenn der Nutzer das Passwortfeld aktiviert - entweder, indem er die Tab-Taste betätigt, darauf klickt oder darauf tippt: Firefox.com (oben links), PayPal.com (oben rechts), Alibaba.com (unten).

Zeigen Sie die Eingabe an

Wenn komplexe Vorgaben befolgt werden müssen, erstellen Nutzer spontan ein Passwort und fügen Zeichen und Symbole hinzu, bis es gültig ist. Zu diesem Zeitpunkt ist es nicht mehr das Passwort des Nutzers, da es sich um eine zufällige Zeichenfolge handelt, die zu diesem System passt. Was die Sache noch schlimmer macht, ist, dass die Abfolge häufig vor dem Nutzer verborgen wird, da die meisten Passwörter nicht angezeigt werden. Falls sich der Nutzer an die endgültige Zeichenfolge erinnern möchte, muss er das Passwort in seinem Kurzzeitgedächtnis speichern, während er es erstellt, was die kognitive Belastung (engl.) erhöht.

Ein weiterer Nachteil der verborgenen Eingabe ist, dass Tippfehler nicht zu sehen sind und daher vom Nutzer nicht bemerkt werden. Das ist besonders wichtig, da viele Nutzer ihre Passwörter auf mobilen Geräten und Tablets erstellen. Es ist wenig überraschend, dass Nutzer mehr Fehler machen, während sie Passwörter auf kleineren Geräten eingeben, als auf Desktop-Computern (Von Zezschwitz, 2014).

Die Lösung: Ermöglichen Sie es Nutzern, das Passwort sichtbar zu machen. Das sichtbare Passwort unterstützt das Gedächtnis und ermöglicht es den Nutzern, ihre Eingabe zu kontrollieren. Verbergen Sie das Passwort auf Desktop-Computern standardmässig und platzieren Sie daneben ein Kontrollkästchen mit dem Text Passwort anzeigen. Zeigen Sie das Passwort auf mobilen Geräten und Tablets standardmässig an und lassen Sie Nutzer die Sichtbarkeit mit einem Passwort verbergen Button regeln. Auf mobilen Geräten können Sie nachgiebiger sein, da es einfacher ist, den Bildschirm des Geräts vor unerwünschten Blicken zu schützen. Ausserdem werden Menschen über ein Handy mit geringerer Wahrscheinlichkeit Konten für extrem sensible Services erstellen.

Passwort anzeigen

Diese Beispiele ermöglichen es Nutzern, das Passwort anzuzeigen: Lan.com (oben), Yahoo.com (unten).

Zeigen Sie einen Stärkemesser an

Die Anforderungen für die Passwort-Erstellung zwingen Nutzer, Aufgaben zu erledigen, die sich willkürlich anfühlen. Menschen absolvieren die Schritte, da sie von der Website gezwungen werden, wählen aber Begriffe, die leicht zu erraten sind. Die Voraussetzungen zu erfüllen, bedeutet nicht notwendigerweise, ein sicheres Passwort zu erstellen - vor allem, wenn das Passwort von echten Menschen erstellt wird, die es einfach erfinden, um die Registrierung abzuschliessen.

Die Lösung: Motivieren Sie Menschen, bessere Passwörter zu erstellen, indem Sie anzeigen, wie sicher das Passwort ist.

Eine Studie von Egelman et al. (2013) ergab, dass Stärkemesser Nutzer motivieren, bessere Passwörter zu erstellen. Indem die Stärke des Passworts eines Nutzers angezeigt wird - was kommuniziert, ob es Verbesserungspotenzial gibt - wird die Motivation beeinflusst. Der Vorteil ist ein sicheres Passwort, statt des einfachen Einhaltens der willkürlichen Aufforderungen eines Systems. Es ist eine kleine mentale Veränderung, die potenziell Einfluss auf die Sicherheit hat. (Eine volle grüne Anzeige zu erreichen, sorgt ausserdem für Zufriedenheit während einer freudlosen Aufgabe: ein schönes Beispiel für einen positiven Einsatzbereich der Gamification.) Im Allgemeinen ist die Konzentration auf die Vorteile (engl.) eine effektive Methode, um Nutzer davon zu überzeugen (engl.), Ihre Produkte oder Services zu verwenden, und eine der besten Empfehlungen für das Verfassen von Inhalten für das Internet (engl.).

Passwortstärkenanzeige

Stärkemesser motivieren Nutzer, stärkere Passwörter zu erstellen: Lan.com (oben), Booking.com (unten).

Beachten Sie dass die Anzeige des Fortschritts bis zur Einhaltung aller Kriterien nicht dasselbe ist, wie ein Stärkemesser. Apple.com und healthcare.gov zeigen Ihnen an, wie viele Schritte Sie bereits absolviert haben und welche noch fehlen. Eine geringe Änderung des Texts könnte Nutzer während des Tippens motivieren und den Ablauf weniger mühsam erscheinen lassen.

Anzeige der Passwortanforderungen

Diese Passwortanforderungen zeigen den Fortschritt bis zur Einhaltung aller Kriterien an: AppleID.Apple.com (oben), Healthcare.gov (unten).

Schlussfolgerung

Die drei hier präsentierten Empfehlungen vereinfachen die Passwort-Erstellung und sind wichtige Bestandteile des Nutzererlebnisses und des Designs von Nutzeroberflächen. Sie können ohne grosse technische Investitionen und Veränderungen umgesetzt werden. Ausserdem fordere ich Verantwortliche von Unternehmen auf, die Passwortanforderungen zu vereinfachen. Usability-Profis erhalten normalerweise strikte Anweisungen von anderen Abteilungen. Im Allgemeinen wird akzeptiert, dass diese nicht verändert werden können - das ist allerdings nicht der Fall. (Beachten Sie, dass der Konflikt zwischen Usability und Sicherheit (engl.) bereits seit Jahrzehnten existiert.)

  • Zeigen Sie IT- und Sicherheitsteams Studien, die belegen, dass Standard-Richtlinien für komplexe Passwörter sicherheitsanfälliger sind als andere Arten. Eine Studie von Forschern der Carnegie Mellon University zeigte vor kurzem, dass „bestimmte Anforderungskombinationen [für längere Passwörter] stärker und besser verwendbar waren, als die traditionellen, komplexen Richtlinien“ (Shay et al., 2014). Erinnern Sie sie auch daran, dass Nutzer komplexe Passwörter häufig an unsicheren Orten aufbewahren (auf Post-its, in einer Schublade, unter der Tastatur oder in einer Datei auf dem Computer), wodurch sie einfach zu finden sind.
  • Beschreiben Sie Produkt- und Verkaufsteams, dass sich Nutzer leicht von Login-Wänden und komplexen Anforderungen des Systems abschrecken lassen, was zu geringeren Konversionen führt. Wenn die Konto-Erstellung betriebsnotwendig (engl.) ist, muss der Anmeldevorgang so einfach wie möglich sein.

Indem technische Argumente für die Vereinfachung der Anforderungen sowie geschäftliche Argumente für ein besseres Nutzererlebnis vorgebracht werden, werden Sie es Ihren Nutzern mit grösserer Wahrscheinlichkeit ermöglichen, schnell und einfach sichere und konforme Passwörter zu erstellen.

Referenzen:

Egelman, S., Sotirakopoulos, A., Muslukhov, I., Beznosov, K., & Herley. C. (2013). Does my password go up to eleven? The impact of password meters on password selection. In Proceedings of the SIGCHI Conference on Human Factors in Computing Systems (CHI '13). ACM, New York, NY, USA, 2379-2388.

Komanduri, S., Shay, R., Kelley, P.G., Mazurek, M.L., Bauer, L., Christin, N., … Egelman, S. (2011). Of passwords and people: Measuring the effect of password-composition policies. In Proceedings of the SIGCHI Conference on Human Factors in Computing Systems (CHI '11). ACM, New York, NY, USA, 2595-2604. (Warnung: dieser Link führt zu einer PDF-Datei.)

Shay, R., Komanduri, S., Durity, A.L., (Seyoung) Huh, P., Mazurek, M.L., Segreti, S.M., … Cranor, L.F. (2014). Can long passwords be secure and usable?. In Proceedings of the 32nd Annual ACM Conference on Human Factors in Computing Systems (CHI '14). ACM, New York, NY, USA, 2927-2936. (Warnung: dieser Link führt zu einer PDF-Datei.)

Von Zezschwitz, E., De Luca, A., & Hussmann, H. (2014). Honey, I shrunk the keys: Influences of mobile devices on password composition and authentication performance. In Proceedings of the 8th Nordic Conference on Human-Computer Interaction: Fun, Fast, Foundational (NordiCHI '14). ACM, New York, NY, USA, 461-470. (Warnung: dieser Link führt zu einer PDF-Datei.)

 

© Deutsche Version. Institut für Software-Ergonomie und Usability AG. Alle Rechte vorbehalten.

Kommentare auf diesen Beitrag

    Keine Kommentare

Kommentar hinzufügen

Die mit * gekenzeichneten Felder sind zwingend auszufüllen