Das Passwortproblem - Ein Dorn im Auge von UX-Designern

von Christian Reichart | 0 | 447 Aufrufe

Anzeige Hier werben

Bild zu Das Passwortproblem - Ein Dorn im Auge von UX-Designern
readme Login-Formular, https://dash.readme.io/login

Authentifizierungen bei Online-Diensten sind eine Notwendigkeit. Nur so können wir unsere persönlichen Daten schützen, personalisierte Funktionen nutzen und mit einer eigenen Identität auf Online-Portalen agieren. Dies geschieht hauptsächlich durch eine Zugangsdaten-Kombination aus Identifikator und Passwort. Für die Nutzererfahrung ist dies allerdings ein Punkt, der UX-Designern schon lange Zeit ein Dorn im Auge ist.

Die Probleme mit einer Identifikator/Passwort-Authentifizierung sind offensichtlich und Sie haben sie sicher schon einmal am eigenen Leib erfahren. Mit der Menge an Zugangsdaten, die wir heutzutage alle in unserem Kopf abspeichern sollen, ist es schwer, den Überblick zu behalten. Oftmals sitzt man vor der Login-Maske eines Online-Portals und kann sich nicht erinnern, welchen Nutzernamen oder welche E-Mail-Adresse man verwendet hat und welches Passwort gewählt wurde. Eine Studie von TeleSign ergab, dass 73% der Befragten ein und dasselbe Passwort auf mehreren Plattformen benutzen, um sich leichter erinnern zu können (https://www.telesign.com/resources/research-and-reports/telesign-consumer-account-security-report/). Dies ist zum einen ein hohes Sicherheitsrisiko, da sich beim Ergattern des Passworts durch eine dritte Person der sogenannte “Domino-Effekt” einstellen kann, bei dem das Knacken eines Onlinekontos die Komprimittierung vieler anderer Zugänge zur Folge haben kann. Zum anderen ist es oft nicht möglich, genau das gleiche Passwort auf allen Plattformen zu verwenden, da diese oft unterschiedliche Anforderungen an die Passwortstärke haben.

Aus Sicht von UX-Designern hat man zwei Möglichkeiten, die Passwortproblematik aufzugreifen: Zum einen kann man durch Hilfestellungen und lockere Registrierungsanforderungen dafür sorgen, den Zugang möglichst einfach und verzeihend zu gestalten, um Nutzer so zu entlasten. Hierbei darf jedoch auch die Sicherheit nicht vernachlässigt werden. Zum anderen entwickeln sich immer mehr Authentifizierungsalternativen, die abseits von Identifikator und Passwort für einen sicheren Login sorgen, sodass man gänzlich auf die klassische Art der Zugangsüberprüfung verzichten kann.

Identifikation vereinfachen

Oft gibt es Online-Dienste, bei denen man sich beispielsweise nur mit dem gewählten Benutzernamen einloggen kann, obwohl eine Angabe der E-Mail-Adresse bei der Registrierung notwendig war. Damit sich Nutzer hier leichter erinnern können, sollte man alle möglichen Identifikatoren zulassen. Dies kann der persönliche Nutzername sein, aber auch die E-Mail-Adresse oder die Telefonnummer.

Eine weitere Möglichkeit, die Eingabe des Identifikators zu vereinfachen, ist das Merken von vorherigen Anmeldungen. Bei Facebook beispielsweise werden die Profilbilder aller Accounts angezeigt, die sich am entsprechenden Gerät bereits eingeloggt haben. Durch einen Klick auf das Bild wird man dann lediglich aufgefordert, das zugehörige Passwort einzugeben.

Bild zu Das Passwortproblem - Ein Dorn im Auge von UX-Designern
Kürzliche Logins auf Facebook, https://www.facebook.com/

Passwortregeln vereinfachen und anzeigen

Aus Sicherheitsgründen gibt es oft spezifische Anforderungen an ein gewähltes Passwort. Typische Regeln sind die Verwendung von Groß- und Kleinschreibung, Zahlen, Sonderzeichen sowie eine Mindestlänge des Passworts. Hier sollte man versuchen, die Anforderungen auf das Minimum zu reduzieren. Eine Möglichkeit wäre, lediglich eine relativ hohe Mindestlänge festzulegen und den Nutzer darauf hinzuweisen, dass er auch eine Passphrase anstatt eines einfachen Passworts wählen kann, also eine Aneinanderreihung mehrerer Wörter. Dies ist leichter zu merken als ein kryptisches Passwort und bietet trotzdem eine hohe Sicherheit. Zumindest aber sollte man dem Nutzer die Wahl lassen, nur bestimmte Kriterien zu erfüllen, also beispielsweise nur Groß- und Kleinschreibung oder ein Sonderzeichen. Um die Person trotzdem zu animieren, ein komplexes Passwort zu wählen, kann man beispielsweise einen Passwortstärke-Indikator verwenden, unter Umständen sogar mit einem Hinweis, wie lange eine Brute-Force-Attacke zum Erraten des Passworts brauchen würde.

Bild zu Das Passwortproblem - Ein Dorn im Auge von UX-Designern
random-ize berechnet grob die benötigte Zeit zum Hacken eines Passworts, http://random-ize.com/how-long-to-hack-pass/

Als Gedächtnisstütze bietet es sich zudem an, bei einer späteren Anmeldung den Nutzer nochmals darauf hinzuweisen, welche Passwortanforderungen man bei der Registrierung gestellt hat, damit dieser sich unter Umständen leichter an sein vergebenes Passwort erinnern kann.

Alternative Login-Möglichkeiten anbieten

All diese Optimierungen kann man sich sparen, indem man auf die klassische Lösung mit Identifikator und Passwort verzichtet. Eine aktuell sehr verbreitete Möglichkeit ist der Social Sign-In, also das Anmelden über einen externen Online-Dienst, bei dem man bereits angemeldet ist (Soziale Netzwerke, Google, etc.). Hier muss es allerdings immer eine Fallback-Lösung geben, für Nutzer die keinen Account bei den Netzwerken haben oder diesen nicht für die Anmeldung nutzen möchten. Es gibt bei dieser Methode nämlich auch einen nicht zu vernachlässigenden Datenschutzaspekt, da für die Anmeldung Daten an den jeweiligen Drittanbieter gesendet werden müssen und dieser so mitbekommt, wann und wo man sich auf anderen Plattformen anmeldet. Nichtsdestotrotz erspart diese Möglichkeit dem Nutzer den aufwendigen Registrierungsprozess und das Merken weiterer Zugangsdaten.

Bild zu Das Passwortproblem - Ein Dorn im Auge von UX-Designern
Social Sign-In bei StackExchange, https://stackexchange.com/users/login

Eine weitere Möglichkeit ist es, komplett auf ein Passwort zu verzichten und dem Benutzer lediglich einen für kurze Zeit aktiven Login-Link per Mail oder Telefon zu senden. Dies wäre also ähnlich zur 2-Schritte-Authentifizierung, wie sie bereits bei vielen großen Portalen zum Einsatz kommt, jedoch ohne den ersten Schritt, also die herkömmliche Registrierung mit Passwort. Auch diese Methode sollte aber lediglich als Alternative angeboten werden, da der Nutzer eventuell gerade keinen Zugriff auf sein E-Mail-Konto oder sein Smartphone hat.

Fazit

Die Registrierung mit Identifikator und Passwort kann und sollte aktuell nur um Alternativen und Hilfestellungen erweitert und nicht komplett ersetzt werden, um potenzielle Nutzer nicht auszuschließen. Es ist aktuell die unabhängigste und bewährteste Methode, eine Authentifizierung durchzuführen. Nichtsdestotrotz bringt sie viele Probleme mit sich und wird wohl in naher Zukunft durch alternative Technologien, wie etwa die von Windows 10 und mittlerweile auch iOS angebotene Authentifizierung durch Gesichtserkennung, bzw. die hauptsächlich auf Mobilgeräten verbreitete Fingerabdruck-Authentifizierung abgelöst werden. Wer sich jedoch aktuell das Merken vieler Passwörter sparen und trotzdem sicher im Netz surfen will, muss auf Passwort-Manager wie z.B. KeyPass zurückgreifen (https://keepass.info/).

Weitere Artikel zum Thema

Über den Autor: Christian Reichart
Adaptable Professional for User-Centered Frontend Solutions
Profilseite betrachten