Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Digitale Gesellschaft

Warum sicherere Passwörter Kriege auslösen werden

© Denis Junker - Fotolia.com

Sicherheit ist unbequem, so eine alte Administratoren-Weisheit. Und weil Sicherheit so unbequem ist, dachte man sich: Wälzen wir das auf den Nutzer ab. Passwörter from Hell.

Immer wenn Passwörter ins Spiel kommen, wird der Nutzer gegängelt. Die Anforderung an ein sicheres Passwort sind höher als an den Abschluss für Atomphysik. Irgendwann wird jemand verletzt – ganz bestimmt.

Wie alles begann

Ein Schnäppchen, dachte ich. So günstig komme ich an das Teil so schnell nicht mehr ran. Fast 45 Prozent günstiger als der reguläre Preis. Mein Gehirn meldet: kaufen! Was harmlos begann, sollte sich zu einer Tortur entwickeln. Der Leibhaftige selbst hatte sich einen perfiden Plan ausgedacht, um mich zu brechen, willenlos zu machen.

Mit einem ausgeklügelten Bestellprozess wollte man mich in den Wahnsinn treiben. Mit dem Klick auf „Jetzt kaufen“ fing alles an. Das Schnäppchen im Warenkorb – und voller Vorfreude kam ich zum nächsten Bestellschritt und zum ersten Dämpfer meiner Freude: Account anlegen.

anmelden

Der Account

Einen Account anlegen ist das neue „Ich will Werbung an deine Adresse für den Rest deines Lebens schicken“, aber das Schnäppchen im Warenkorb war zu verlockend. Also weiter zur Eingabe „Ihrer persönlichen Daten“. Man wird sehr persönlich. Denn nicht nur, dass man für jede erdenkliche Angabe ein eigenes Eingabefeld gemacht hat. Nein, auch die Anrede besteht nicht nur aus Herr und Frau, sondern aus weiteren 67 Titeln. Dazu gesellen sich weitere Pflichtfelder wie Bundesland, Rückrufnummer und Fax.

Mein Puls nähert sich der kritischen Marke. Ein Blick auf den Warenkorb beruhigt mich etwas. Gleich, so denke ich, kann ich die Bestellung auslösen.

Nur noch bezahlen. „Nur noch“ bezahlen. Das gestaltet sich nämlich schwieriger als gedacht, denn man bietet mir alle Bezahlverfahren der Welt an. Das Wort „Vielfalt“ wird hier ernst genommen. Meine Bonifair-Bons von der Raststätte kann ich zwar nicht einlösen, dafür aber in verschiedenen Währungen zahlen. Macht Sinn bei einem Shop, der ausschließlich innerhalb Deutschlands versendet.

Das Passwort

Ich bin am Punkt, an dem ein Umkehren keine Option mehr ist. Mit der Möhre vor der Nase gehe ich also weiter zur Account-Eröffnung. Zum Anlegen eines Benutzernamens und des Passworts. Der Benutzername darf nur aus Buchstaben bestehen. Groß und Kleinschreibung ist erlaubt, Zahlen nicht. Sonderzeichen auch nicht. „Maik“ ist zu kurz. „Maikk“ ist schon belegt. Ich entscheide mich für „maikklotz“ in der Hoffnung, nie wieder selbigen eingeben zu müssen. Meine aufkommende Wut hat sich in nackte Verzweiflung verwandelt. Ich habe Tränen in den Augen.

Nur noch das Passwort und ich bin fertig. In der Zwischenzeit habe ich vergessen, auf welcher Seite ich bin oder was der Grund für all den Schmerz ist. Wie paralysiert gebe ich mein Standardpasswort ein. Mit sechs Zeichen ist es zu kurz. Ich hänge zwei weitere Zeichen dran. Nun ist es nicht sicher, da keine Zahlen vorkommen. Aber auch zwei Zahlen helfen nicht, denn wenigstens ein Buchstabe muss groß geschrieben sein. Sonderzeichen sind nicht erlaubt.

Ich beuge mich. Und gebe ein Passwort ein, das den Sicherheitsstandards der Webseite entspricht.

Leider vergesse ich es direkt nach der Eingabe, was eine zweite, erforderliche Eingabe des Passwortes unmöglich macht. Weinend nehme ich irgendwann auch diese Hürde und der Account ist angelegt. Endlich.

passwort

Erleichterung, keine Passwörter mehr

Erleichterung macht sich breit. Mein Herz wird leicht und ich weine vor Freude. So muss man sich fühlen, wenn man den Everest erklommen hat. All der Schmerz ist weg und ich klicke auf „Bestellung abschließen“.

„Das Produkt ist leider nicht mehr lieferbar.“

Das war vor zwei Monaten. Noch immer zucke ich zusammen, wenn ich für einen Shop oder Webdienst einen Account anlegen muss. Instinktiv nutze ich Funktionen wie das Anmelden mit Facebook, Twitter oder Google. Ich möchte nicht gegängelt werden. Ich will mir kein Passwort ausdenken, das “sicher” ist.

Sichere Passwörter, garantierter Frust

Ich habe wie fast jeder Deutsche ein Girokonto. Auf dieses Konto kann ich online zugreifen. Mit einer vierstelligen Pin kann ich mich einloggen. Das sind gerade mal 10.000 mögliche Kombinationen. Meine Bank sperrt mein Konto nach drei Fehleingaben, das ist fair. Über eine SMS kann ich es mir dann wieder aufschließen, wunderbar.

Nicht so bei vielen Webshops und Webdiensten. Dort wird die Form des Passwort vorgeschrieben. Die Funktion „Passwort vergessen“ gehört dort zur meistgenutzten Funktion der Webseite. Man bekommt einen Reset-Link und kann dann ein neues Passwort festlegen. Manch einer nutzt ausschließlich diesen Weg als Login.

Der Login zu einer Webseite sollte sicher sein, keine Frage. Auch kann man dem Anwender Tipps für sichere Passwörter geben. Was Anbieter aber nicht tun sollten, ist die eigene Verantwortung, einen Dienst sicher zu gestalten, auf die Nutzer abzuwälzen. Vor allem dann nicht, wenn die Passwort-vergessen-Funktion selbiges im Klartext per E-Mail verschickt.

Der Betreiber eines Dienstes kann schon einiges tun, wie zum Beispiel den Login nur aus bestimmten Ländern zuzulassen oder nur vom gleichen Browser. Natürlich lässt sich das umgehen, aber die Summe von Sicherheitsmechanismen machen es für den Anwender komfortabel und sicherer. Auch ein Login über eine Art Einmal-Login, zum Beispiel in Form einer SMS-Tan, wäre komfortabler als das ständige Resetten des Passwortes.

Wer sich etwas weniger Stress machen will, nutzt Tools wie Lastpass oder 1Password. Das löst zwar nicht den Account- und Passwort-Wahn mancher Webseiten, aber der Login gestaltet sich deutlich komfortabler.

Bitte beachte unsere Community-Richtlinien

9 Reaktionen
Passworte überall

Miswirtschaft ist weitverbreitet. Und so lange US-GAAP oder andere Regularien bzgl. Onlineshop-Sicherheit wohl wenig vorschreiben, fragt wohl eher keiner danach. Das Thema ist so beliebt wie Responsive-Design oder Doping-Tests bei Sport-Teams.

Für Sicherheit wird man nicht belohnt. Das Thema interessiert eher selten.
Man kann es ansprechen und warten das man Recht behält um Reputation zu gewinnen oder die Karriere-Leiter hochzusteigen.

Wenn man abmahnfrei ein Wiki aufsetzen kann, wo man best-Practises sammelt, könnte man den Kunden überzeugen z.b. unbequeme Anmeldeprozedieren zu vereinfachen. Weil man sich beim Konkurrenz-Shop beispielsweise per Facebook anmelden kann.
Dummerweise wird man dafür vielleicht abgemahnt
t3n.de/news/facebook-app-impressum-vertragsstrafe-481427/‎
Erfolgsabhängige Bezahlung wäre in diesem Falle auch interessant. Dann zahlt der Kunde z.B. nur für mehr Kunden durch den Facebook-Login o.ä. und man vereinfacht sich das Projekt dadurch sehr.

Von der Regierung ist nicht zu erwarten, das sie vorschreibt das 5% der IT-Projekt-Investitionssumme z.B. für den Onlineshop pro Jahr in Verbesserung zu stecken sind. Oder das man als BSI oder Finanzamt Standard-"Volks"-Online-Shops anbietet die perfekt ans Finanzamt, Arbeitsamt, Rentenkasse usw. angebunden sind und nur optisch gepimpt werden können damit sie unterschiedlich aussehen aber die Verwaltungs-Mitarbeiter verschiedene Shops gleich bedienen können so wie die DATEV-Software einheitlichkeit bei Steuersoftware ("Formular ABC Zeile 123 Feld 2") bewirkt oder Buchhaltungs-Software ("Buchung 119 Euro von EC-Karte an Umsatz-Steuer 19 Euro und 100 Euro Smartphones") vereinheitlicht ist. Steckdosen und Stromnetz sind ja auch einheitlich. Wer in USA bestellt merkt an den Formularen schnell, das viele unterschiedliche Shops dieselben Kreditkarten-Abrechnungs-Dienstleister im Hintergrund benutzen.

Software wird oft nicht als relevant angesehen. Die meisten Leute halten dank mieser Absturz-Bananen-Software wohl auch nicht viel von der Branche. Und Milliarden-Kosten können kleine Unternehmen sich nicht leisten. Abmahnungen und Software-Fehler kosten viele kleine Unternehmer schon genug.

Sogar die USA schaffen es nicht, Formulare für Obamacare funktionierend aufzusetzen was ich eher für trivial halte. Andere Länder konnten ihre Studenten nicht online anmelden.
Ich glaube die Softwareindustrie hat elementarere Probleme wenn die Spieler (Programmierer) weniger kriegen als der Trainer (BWLer, Juristen,...). Das mit den Passworten ist ein Usability-Problem und das wiederum eher ein Zeichen mangelnden Interesses und Verantwortung für anständige Qualität durch die Beteiligten oder ein Zeichen für schlechte Organisation im Projekt.

Und das die großen Firmen die Kosten auf kleine Bürger abwälzen ist nur für jüngere Leute wirklich neu. Der Kunde bezahlt IMMER für Miswirtschaft, Abfindungen, Rettungen, Subventionen, Korruptions-Strafen, Straf-Zahlungen für Kartelle,... . Sowas sprechen Piraten, Anti-Euro-Parteien usw. aber auch nicht an. Damit bayrische Firmen Windstrom von Norddeutschland kriegen, soll ich neue Stromleitungen bezahlen obwohl Privathaushalte dank Videobrillen, Pads und LED-Lampen ständig weniger Strom brauchen wie die Statistiken jährlich zeigen. Wer Strom will kann doch neben dem Kraftwerk bauen oder sich Solar aufs Dach setzen. Die China-Solarzellen sollen doch so billig sein. Da müsste doch Solarstrom ja ein paar Jahre früher den Break-Even erreichen.

Antworten
Donngal

Ich frage mich eher: Warum den User zu seinem Glück zwingen? Wer keine sicheren Passwörter wählt hat Pech gehabt. Ein Hinweis, ok, aber warum der Zwang?
Wenn ich mir einen Wegwerfaccount ohne echt Daten mache, warum auch immer, ist ja meine Sache, brauche ich kein gutes Passwort. Den Account nutze ich nie wieder, und niemand anders kann was mit einem Account mit Fantasiedaten anfangen. Passt jetzt nicht so gut zu Online-Shops, aber es gibt genug Seiten, bei denen ich es so handhabe. Beispiel? Irgendwelche Forums-Seiten, wo ich nur mit Account Bilder/Anhänge anschauen kann. Wegwerfaccount mit Wegwerf passwort und gut ist.

Antworten
Gerd KY

Stellt euch vor: wenn es nur ein paar Euro teurer ist kaufe ich mittlerweile öfters wieder einfach mit Bargeld in der Stadt! (je nach Kaufgegenstand natürlich...)

Antworten
Maik Klotz

Hallo softient,

es hat immer etwas mit Verantwortung zu tun. Der Nutzer soll für alles haften und für alles verantwortlich sein, fernab ob er es überhaupt leisten kann. Am besten seine E-Mails verschlüsseln ohne zu wissen wie das geht.

Der Computer ist komplex und nur ein kleiner Prozentsatz versteht diese Komplexität? Was bedeutet das? IT und Computer nur für eine kleine Anzahl von Elite-Admins?

Schauen wir uns die Automobil-Industrie an. Ein Auto zu fahren ist leicht erlernbar. Autos werden immer intelligenter, ABS, Airbacks, etc. schützen den Nutzer.

Nur bei einem Einkauf im Internet, ist der Nutzer "schutzlos" und muss ich selber kümmern. Da ist alles so komplex?

Wieder einmal ist es Apple, die versuchen dieses "unbequeme" Thema mit Dingen wie TouchID und Keychain einfacher zu gestallten. Und auch wenn es eben noch nicht 100% sicher ist, nimmt man sich dem Thema an und versucht Sicherheit bequem zu gestallten.

Der Artikel soll anregen sich mit dem Thema zu beschäftigen, den Nutzer in den Vordergrund zu stellen um zu überlegen, wie man denn Sicherheit und Komfort zusammenbringt.

Es mag sein, das sich beides nicht 100% vereinen lässt, aber vielleicht kann es eine Annäherung geben.

Antworten
softient

Glosse hin oder her.

Nein, Herr Klotz, Sicherheit ist immer unbequem und je unsicherer, desto unbequemer.
Natürlich muss der Dienstleister sicherer werden und eine Möglichkeit ist schon mal das Passwort sicherer zu machen, es in Datenbanken verschlüsselt zu schreiben, am Besten mit einem asynchronen Verschlüsselungsverfahren.

Ich betone eine Möglichkeit, denn letztendlich haben wir es mit dem Internet mit einem Protokoll zu tun, dass an 2 Stellen immer Klartext irgendwo frei gibt. Einmal auf dem Browser des Client, auf jedem Browser, und dann beim verschlüsseln auf dem Server.

Hier gibt es definitiv keine Lösung, wenn ein Angreifer hier ansetzt. Trojaner, Virus auf bei den Seiten, eher natürlich beim Client und ein verärgerter Mitarbeiter auf der Dienstleisterseite.
Zugriffe im Softwarebereich, sogenannte Backdoors lassen sich nie vermeiden und sind so gut wie nicht zu entdecken, bei Windows, Linux und anderer Umgebungen.

Gehen wir davon aus, dass alle Dienstleister, und wir reden hier von Webshop Betreibern, die meistens wenig bis gar kein Ahnung von diesen Dingen haben, es sei denn man heißt Amazon, auf eine Hochsicherheitssoftware zurück greifen, dann würden die Kosten für Standard-Softwaren wie Typo 3 und Konsorten ins Unermessliche steigen.

Der Verwaltungsaufwand wäre für den einfach Shop nicht rentabel und es würde schlichtweg keine dieser von Ihnen geschilderten Günstig-Angeboten geben.

Ich behaupte das nicht nur, ich weiß es.

Das Problem ist eigentlich leicht zu erkennen.

Der "Computer" ist ein sehr komplexes Gerät und es gibt nur einen kleinen Prozentsatz von Nutzern auf dieser Welt, die diese Komplexität verstehen.

Das Kuriose daran, jeder der ein wenig rumklicken kann und irgendwelche Suchanfragen in irgendwelche Suchmaschinen hämmert, meint mitreden zu können.

Um auf vorher nochmal zurückzukommen.
Die Sicherheit auf Dienstleister Ebene zu erhöhen, würde bedeuten, dass dieser ein Überwachungssystem über alle Vorgänge auf seinem Server betreiben würde.

Das ist einfach nicht von einem Klein oder Mittelständler zu bezahlen. Punkt.
Zum einen gibt es dafür keine billige Softwarelösung, zum anderen kostest dass dann "Mannstunden", sprich Fach-Personal, welches in der IT rar ist.

Allein um auf alles Punkte einzugehen, sie nur anzureißen, würde den Rahmen dieses Artikel sprengen und eben genau das ist es, was ich meine, glossenhaft kann man dem nicht beikommen. So redet man am Stammtisch oder in der Sauna, wenn man sich mit seinem Gegenüber über irgendein idiotisches Smartphone unterhält.

Antworten
Maik Klotz

Genau, eine Glosse. Eine Überspitzung des Themas, aber auch mit einer Aussage.

Ich bin in der Tat der Meinung, das Sicherheit nicht unbequem sein muss und es sich die Anbieter von Diensten es viel zu leicht machen. Das abwälzen auf den Nutzer ist keine Lösung und gerade in Zeiten von NSA & Co. müssen die Diensteanbieter sicherer werden. Der Nutzer hat überhaupt keine Chance, denn die Daten werden ja an ganz anderer Stelle abgegriffen.

Antworten
Carlo

Der Text ist ja extra als "Glosse" gekennzeichnet - aber so ganz ohne Hintergedanken bzw. ohne das Körnchen "ich meine das eigentlich wirklich so" wird der Schreiber nicht geschrieben haben. Und da muss ich sagen: das geht in die falsche Richtung. Warum? Weil ich schon auf die nächste "Glosse" gespannt bin, wenn mal wieder irgendeine NSA, Finanzbehörde oder sonstiger Hacker die "ach so toll gesicherten" Daten ausspioniert hat (nein, Finanzbehörden spionieren natürlich nicht, die kaufen nur). Egal - Hauptsache, wir haben was zu "glossen". Wie war das noch mit dem Fähnchen im Wind? - Weitermachen...

Antworten
Passworte überall

Neulich ein Zitat von Bruce Schneier: "Wir dachten die User wären nicht lernfähig. Doch sie haben das häufigste Passwort 'password' auf 'password1' weiterentwickelt". Ich vermute aber eher das der Grund ist, das Webseiten einen zwingen, ein Sonderzeichen oder Ziffer und nicht nur "a-z" zu benutzen.
Von ich glaube M$ gabs auch Studien das Passworte aufgeschrieben oder immer dasselbe genommen wird. Schikanierungen wie jeden Monat wechseln sind unproduktiv.

M$ hat schon seit Win95 oder Win98 Sicherheits-Chip-Karten. In den Netzwerk-Einstellungen sieht man das ("...Smartcard-Zertifikate...") aber zu kaufen gibts die anscheinend nicht.
Solche Themen interessieren eher kaum jemanden.

Fürs Ansprechen von Sicherheits-Fragen gilt man als unbequem und hat oft einen Kunden weniger.

Verbraucherschutz u.ä. könnten auch aktiver sein.

Und das Kreditkartenfirmen den Schaden selber bezahlen wenn in Onlineshops mit meiner Karte bezahlt wird, sollte auch mal klargestellt werden. Denn die Kreditfirma könnte bei Onlineshops ja problemlos eine Email schicken und nachfragen statt Waschmaschinen und 80"-UltraHD-TVs ins Ausland zu schicken. Und die Kreditkartenleser könnte Kameras enthalten womit man Kunden fotografiert und der zur Kreditkartennummer hinterlegten Email-Adresse eine Email mit dem Photo des Käufers schickt.
Wessen EC-Karten-Leser keine Kamera hat, zahlt halt höhere Versicherungsgebühren.
Sowas ist trivial und würde Kreditkartenbetrug wirksam dauerhaft austrocknen und die Kreditkarten-Gebühren würden sinken.

Wenn Ende Januar auf SEPA umgestellt wird, erkennt man den hohen Stand der Informatik in ganz Europa.

Antworten
nix

man könnte meinen auf der welt gäbe es keine probleme wenn man solche artikel liest. tatsächlich ist es aber wohl viel mehr so, dass einige leute einfach zu verwöhnt geworden sind und daher die eigene intelligenz (die übrigens geschenkt ist von mutter natur) konsequent nicht einsetzen wollen und sich anschliessend darüber beschwerden, dass andere ihnen steine in den weg legen wollen. ehrlich, nicht böse gemeint aber wenn sie als erstes von einem schnäppchen angebot gelockt werden, welches im grunde gar nicht bestellt werden wollte verstehe ich das problem beim account erstellen echt nicht! trashmail wenn man seine daten nicht preisgeben will, packet auf die post schicken lassen, wenn man auch die adresse nicht preisgeben will und ein passwort 2x hintereinander eingeben sollte schon möglich sein. was ihre bank mit ihrem girokonto macht erachte ich hingegen im heutigen zeitalter schon fast als fahrlässig (sie werden mir zustimmen wenn ihr geld dann mal weg ist)!

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen

Finde einen Job, den du liebst