Sichere Passwörter und User Experience – eine kritische Beziehung?

Wie man Nutzern den Login-Prozess erleichtert

Hackerangriffe und Daten-Leaks, aber auch die Einführung der EU-Datenschutzgrundverordnung haben das Bewusstsein für das Thema Datensicherheit in der Gesellschaft stark ansteigen lassen. Dennoch verwenden die wenigsten Internetnutzer wirklich sichere Passwörter. Wir haben daher einige Tipps, wie Sie als Unternehmen Ihre Kunden im Umgang mit persönlichen Passwörtern unterstützen können.

Status Quo: „Für 90% meiner Accounts nutze ich dasselbe Passwort.“

In einer qualitativen Studie von Facit Digital zum Thema Passwortsicherheit gaben die Probanden an, im Mittel über ca. 20-30 Nutzerkonten mit Passwortzugang zu verfügen. Häufig wird dasselbe Passwort für mehrere Accounts benutzt. Zudem notieren die meisten ihre Passwörter auf Zetteln, ungeschützten Dokumenten am PC oder in ihren Smartphone-Notizen. Passwort-Manager können beim Erinnern der Kennwörter helfen, werden bisher allerdings nur von einer Minderheit (10%) der deutschen Internetnutzer verwendet (Web.de über Statista).

Problematisch für Unternehmen wird es vor allem dann, wenn das Vergessen von Passwörtern dazu führt, dass Kunden ihre erstellten Accounts nicht benutzen oder einen Kaufprozess abbrechen, nachdem sie ihr Passwort erneut zurücksetzen mussten.

Password-UX in wenigen Schritten

Es gibt ein paar Punkte, die Unternehmen beachten können, um die Usability von Login-Prozessen zu verbessern und Absprungraten zu vermeiden.

1) Passwort-Anforderungen reduzieren und hervorheben

Werden die Anforderungen, die eine Website an ein Passwort stellt (z.B. Groß- und Kleinschreibung, Verwendung von Symbolen etc.), von Anfang an angezeigt, können Fehlereingaben reduziert werden. Nichts nervt Nutzer mehr, als wenn sie mehrmals herumprobieren müssen, bis das eingegebene Passwort akzeptiert wird.

Anzeige Passwort-Anforderungen bei Airbnb
Airbnb hebt die Passwort-Anforderungen deutlich hervor und zeigt grün an, wenn diese bereits erfüllt sind.

2) „Passwort anzeigen“ erlauben

Auch die Möglichkeit, sich das Passwort anzeigen zu lassen, vermeidet Fehler und fördert die Erinnerung der Passwörter. Die Experten der Nielsen Norman Group empfehlen dazu unterschiedliche Voreinstellungen für Desktop und für mobile Geräte: Auf dem Desktop solle man Passwörter zunächst automatisch verbergen (d.h. anstelle des eigentlichen Passworts erscheinen die bekannten Punkte im Eingabefeld). Ein „Anzeigen“-Button neben dem Eingabefeld ermöglicht den Nutzern, sich ihre Eingabe anzeigen lassen. Auf mobilen Geräten solle man besser anders herum vorgehen: Das Passwort automatisch anzeigen und mit dem Button den Nutzern die Möglichkeit geben, auf „Passwort verbergen“ umzuschalten.

Password verbergen bei Zalando Passwort anzeigen bei Zalando
Der Registrierungs-Prozess bei Zalando am Desktop:
Das Passwort wird standardmäßig verborgen. Mit einem Klick auf „Zeigen“ können die Nutzer sich ihr Passwort anzeigen lassen.

3) Passwort-Stärke anzeigen

Eine Passwort-Stärke-Anzeige gibt den Nutzern Echtzeit-Feedback über die von ihnen gewählten Passwörter und motiviert dazu, stärkere Passwörter zu erstellen. Unsere Studie zur Passwortsicherheit hat gezeigt, dass sich Nutzer an dieser Stelle allerdings Transparenz wünschen: Aus der Anzeige sollte demnach hervorgehen, auf welchen Parametern die Stärke bzw. Schwäche des gewählten Passworts basiert (–> Kombination mit Punkt 1).

Passwort-Stärke-Anzeige bei Web.de
Ein Ampelsystem mit 3 Farben informiert Nutzer bei Web.de über die Stärke ihres eingetippten Passworts.
Die Anzeige der Sicherheitstipps gibt Auskunft darüber, auf welchen Parametern die Stärke eines Passworts bei web.de basiert.

4) Auf die Passwort-Bestätigung verzichten

Von Eingabefeldern, in denen das neu gewählte Passwort wiederholt eingetippt werden soll, wird zunehmend abgeraten. Das Eintippen von Passwörtern ist umständlich. Muss ein Passwort zweimal eingetippt würden, ist es doppelt lästig. Wenn das Passwort angezeigt werden kann (siehe Punkt 2), können Nutzer Fehler direkt prüfen, was eine doppelte Eingabe überflüssig macht.

5) Passphrasen ermöglichen

Als Voraussetzungen für ein sicheres Passwort galten bislang nahezu unumstritten die Vorgaben der US-Behörde NIST (National Institute of Standards and Technology) aus dem Jahr 2003: möglichst komplexe Passwörter, mit Groß- und Kleinschreibung, Sonderzeichen, die zudem regelmäßig erneuert werden.

Es ist richtig, dass ein besonders kryptisches Wort, wie z.B. „570b%8lhZ“, schwerer zu hacken ist als normale Wörter. Dennoch hat sich gezeigt, dass viele dieser vermeintlichen Sicherheitsmaßnahmen dazu führen, dass Leute sich Passwörter nicht merken können und auf Zetteln notieren. Bei häufigem Ändern der Passwörter tendieren Nutzer sogar dazu, doch wieder einfachere Passwörter zu erstellen, an die sie sich besser erinnern können. Daher raten Experten zunehmend zu sogenannten Passphrasen. Das sind längere Sätze, bestehend aus mindestens drei richtigen Wörtern. Diese kann man sich leichter merken. Außerdem sind lange Passwörter (selbst, wenn sie aus einfachen Wörtern bestehen) schwerer zu hacken als kurze komplexe Buchstaben-Kombinationen. Laut dem schwedischen Digitalisierungs-Experten Thomas Baekdal ist es z.B. 10-mal sicherer, „this is fun“ als Passwort zu verwenden, als „J4fS<2“. Noch sicherer werden solche Passphrasen, wenn dazu Fantasiewörter verwendet werden (z.B. „fluffy is puffy“). Auf diese Weise könnten auch die Anforderungen an Passwörter (siehe Punkt 1) weiter reduziert werden, ohne die Sicherheit zu minimieren.

Auch die Experten von NIST haben ihre ursprünglichen Empfehlungen revidiert und 2018 neue Guidelines veröffentlicht. Um Passphrasen zu fördern, rät die US-Behörde nun dazu, bis zu 64 Zeichen in einem Passwort-Eingabefeld zu erlauben. Außerdem sollen Nutzer nicht mehr willkürlich zu einem regelmäßigen Passwort-Update gezwungen werden. Es sei denn, es liegt eine Passwortverletzung vor.

6) Passwortgeschützte Bereiche hinterfragen

Häufig vernachlässigt wird die Tatsache, dass es in vielen Situationen gar nicht unbedingt nötig ist, den Nutzer zu einer Anmeldung zu „zwingen“. Wo möglich, sollte eine Registrierung also immer optional sein. Der Guest-Checkout mit optionaler Registrierung auf E-Commerce-Sites vereinfacht z.B. den Kaufprozess. Selbst individuell zugeschnittene Angebote sind ohne Login-Vorgang möglich: Amazon verwendet beispielsweise Cookies, um Nutzern auch im nicht eingeloggten Zustand personalisierte Inhalte zu zeigen.

Alternativen zum klassischen Passwort-Login

Auch jenseits von textbasierten Passwörtern gibt es mittlerweile eine Vielzahl an alternativen Authentifizierung-Möglichkeiten.

Biometrische Authentifizierungs-Verfahren, wie z.B. Touch- oder Face-ID bzw. Iris- und Netzhauterkennung sowie die Analyse des Tastatur-Anschlagsrhythmus, gelten als besonders sicher, weil sie nicht problemlos an andere Personen weitergegeben, vergessen oder gestohlen werden können. Zudem machen sie das Merken der Passwörter obsolet und ersetzen lästiges Eintippen von Pins und Kennwörtern.

Besonders sicher, aber nicht unbedingt praktischer, ist eine Zwei-Faktor-Authentifizierung, bei der beim Einloggen zusätzlich zum Passwort ein Code zu einem 2. Gerät gesendet wird.

Nutzerfreundlicher ist die sogenannte „Social“ oder „Third-Party-Authentication“, also die Authentifizierung über Facebook, Google oder andere externe Anbieter. Hier können Nutzer sich schnell und einfach registrieren sowie ihr (bereits erprobtes) Passwort verwenden. Bei der Implementierung dieser Methode ist jedoch darauf zu achten, dass es Nutzer gibt, die über keinen Social-Media-Account verfügen oder diesen nicht für die Registrierung benutzen wollen.

Zudem besteht die Möglichkeit, bei der Registrierung komplett auf ein Passwort zu verzichten. Bei der „No Password Authentication“ kann man Nutzern beispielsweise die Option anbieten, sich einen Link per E-Mail zuschicken zu lassen, der sie automatisch einloggt. Sicherheit wird dadurch gewährleistet, dass der Link nach einer gewissen Zeit seine Gültigkeit verliert.

No password authentication bei slack.com
Option zur Registrierung ohne Passwort bei Slack.com

Fazit

Passwortgeschützte Bereiche sind in vielen Situationen unvermeidbar. Gerade deutsche Nutzer legen besonders viel Wert auf Datenschutz und möchten sich sicher fühlen. Andererseits sind Passwörter lästig und erschweren den Userflow. Dass sich Usability und Sicherheit nicht ausschließen, haben die aufgeführten Punkte gezeigt. Für eine erfolgreiche User Experience sollten Unternehmen daher das Erstellen sicherer und gleichzeitig einfacher Passwörter so leicht wie möglich machen. Auch Verfahren, die den Einsatz von Passwörtern ablösen, sollten zunehmend in Betracht gezogen werden. So profitieren am Ende sowohl die Nutzer als auch die Unternehmen selbst.

Beitrag teilen
Theresa Amberger
Theresa Amberger
Als studierte Kommunikationswissenschaftlerin stellt Theresa viele Fragen und geht den Dingen gerne auf den Grund, so auch für die Blog-Reihe „Inside FaDi“. Im UX Consulting bei Facit Digital kann sie diese Leidenschaft mit ihrem Interesse an digitalen Trends und technologischen Neuerungen optimal vereinen.