27.11.2000

MIT FUZO-FRAGE

Bildquelle: PhotoDisc

Komplexe Passwörter als "große Sicherheitslüge"

Wenn es um Passwörter geht, hat der anerkannte Usability-Experte ["Benutzbarkeit"] Jakob Nielsen eine andere Meinung als die meisten Computerfachleute.

"Die große Lüge der Computerindustrie ist, dass komplexe Passwörter die Sicherheit erhöhen", konstatiert Nielsen. Denn Menschen neigen dazu, alles aufzuschreiben, was zu kompliziert zu merken ist.

Generell, merkt Nielsen an, sind Benutzerfreundlichkeit und Sicherheit diametral entgegengesetzt: Ersteres verlangt möglichst einfachen Zugang zu Systemen, Letzteres einen möglichst schweren.

Die drei Lügen
"Ein System, das null unauthorisierte User hat, kann von niemandem mehr benützt werden", zeigt Nielsen die Extreme auf. Als "große Lügen der Computersicherheit" bezeichnet er folgende Aussagen: "Zufallspasswörter sind sicherer", "ein Passwort, das vom System gewählt wird, ist sicherer", "lange Passwörter sind sicherer", "der Zwang zum ständigen Passwortwechseln macht das System sicher" und "verschiedene Passwörter für verschiedene Systeme erhöhen die Sicherheit".

Jakob Nielsen

User schreiben ihre Passwörter nieder

Im "real life" aber, so Nielsen, zeige sich nur eins: User schreiben ihre Passwörter nieder. Ein Blick auf das Post-it am Bildschirm, auf das erste Blatt Papier in der Schublade oder eine dementsprechend bezeichnete Datei auf der Festplatte zeigt oft die gesammelten Passwörter für mehrere Systeme.

Nielsen plädiert für einfache Passwörter, die sich die Benutzer selbst aussuchen können. Damit würde zwar auf den ersten Blick die Sicherheit herabgesetzt werden, aber: Die meisten Angriffe kommen von innen und werden nicht von außen mit Passwortattacken geführt.

Websites einfacher gestalten

Als der Benutzbarkeit Verpflichteter hat er aus den Erkenntnissen gleich Lehren gezogen, wie Websites besser gestaltet werden könnten. Generell sollte, beispielsweise bei E-Commerce-Sites, die Passwortvergabe nicht zu kompliziert erfolgen. Viele User, die nicht hinreichend auf die Verpflichtungen aufmerksam gemacht werden, würden automatisch das Passwort ihres Mailaccounts oder aber ihre AOL-Adresse eintragen.

Zehn Logins, eine Person

Vergessene Passwörter zeigen sich auch in der Login-Statistik: So ist es laut Nielsen durchaus üblich, auf einer Website fünf bis zehn Logins derselben Person wieder zu finden. Grund: vergessene Passwörter.

Als Idealzustand führt er das einmalige Login, das zeitlebens für den Rechner gilt, an. Er hofft auf Fortschritte, die durch Biometrie, beispielsweise Irisscan oder Fingerabdruckerkennung, gemacht werden würden.

Zu den Gefahren, die derartige Technologien für die Gesellschaft bergen, äußerte sich Praktiker Nielsen nicht.