Müssen Passwörter maskiert werden?

Tippe ich irgendwo ein Passwort ein, erscheinen üblicherweise statt der richtigen Zeichen nur dicke Punkte. Ist diese Maskierung sinnvoll oder nur eine unnötige Hürde?

Nahaufnahme eines Passwortfeldes mit drei dicken Punkten.
Statt meines richtigen Passworts sehe ich nur fette Punkte. Früher waren statt der Punkte noch ********* üblich, aber beides erfüllt die gleiche Funktion: Maskierung.

Vor etwa einem halben Jahr hatte ich auf LinkedIn eine Diskussion mit jemandem, der fest davon überzeugt war, dass man die Maskierung von Passwörtern beim Eintippen abschaffen sollte. Stattdessen müsse das Eingetippte im Klartext dort stehen.

Als Argument führte er unter anderem an, dass Leute ohnehin sehr sensibel darauf achteten, wer auf ihren Bildschirm schaut. Da konnte ich als regelmäßiger U-Bahn-Fahrgast nur herzhaft lachen. In öffentlichen Verkehrsmitteln kann ich Leuten bei fast allem über die Schulter schauen, was sie so auf ihren Smartphones treiben.

Außerdem meinte er, dass man ohne Maskierung Zeit sparen könne. Klar, stimmt schon. Ein falsch eingetipptes Passwort kostet Zeit und wenn man das Eingetippte nicht sieht, wirkt sich das garantiert negativ auf die Fehlerrate aus. Da kann man mit vielen Passwörtern und ungeschickten Wurstfingern mitunter schon mal eine halbe Minute am Tag sparen. Dafür geben wird doch gerne unsere Sicherheit auf, oder?

Ganz unfundiert war die Diskussionsgrundlage meines Gegenübers allerdings nicht. Er hatte seine Argumentation mit einem Link auf einen Artikel begonnen, der einen unmissverständlichen Titel hat: »Stop Password Masking«. Und diesen Text hatte nicht etwa so ein unbekannter Hanswurst wie ich geschrieben, sondern Jakob Nielsen, der als einer der größten Gurus in Sachen Benutzerfreundlichkeit gilt. Auch dieser erklärt den vermeintlichen Schutz durch Passwort-Maskierung gleich mal zum »Nicht-Thema«, aber so ganz überzeugen mich auch seine Argumente nicht.

Kein hundertprozentiger Schutz

Nielsen meint etwa, dass die Maskierung ohnehin keinen hundertprozentigen Schutz bietet. Ein begabter Schnüffler könne einem schließlich auch beim Tippen auf die Finger schauen.

Ja, das stimmt schon. Es gibt unzählige Wege, an eingetippte Passwörter zu kommen. Man könnte auch ein Smartphone in der Nähe des Tippenden ablegen und dann aus Beschleunigungssensoren und Audiodaten die benutzten Tasten rekonstruieren.

Aber es macht schon einen gewaltigen Unterschied, ob man eine Detektivausbildung braucht oder die Daten auf dem Präsentierteller serviert bekommt. Ohne Passwortmaskierung muss ich nur im richtigen Moment ein Foto machen und habe sofort Website, Benutzername und Passwort in einer deppensicheren Zusammenstellung parat.

Zwei Hände auf einer Tastatur.
Wer erkennt auf einen Blick, welche Taste ich hier gerade drücke? Die Zeichen einfach vom Bildschirm abzulesen, ist da doch etwas ganz Anderes.

Generell ist »kein hundertprozentiger Schutz« ein Pseudo-Argument. Wo hat denn jemals irgendetwas einen hundertprozentigen Schutz geliefert? Auch Kondome bieten keinen hundertprozentigen Schutz, aber wer würde deshalb darauf verzichten?

Üblicherweise passiert doch nichts …

In weiterer Folge schreibt Jakob Nielsen:

»Noch wichtiger ist, dass Dir normalerweise niemand über die Schulter schaut, wenn Du Dich auf einer Website anmeldest. Es bist nur Du, der ganz allein in seinem Büro sitzt und unter einer verminderten Benutzerfreundlichkeit leidet, um sich vor einem Nicht-Thema zu schützen.« (Im Original: »More importantly, there's usually nobody looking over your shoulder when you log in to a website. It's just you, sitting all alone in your office, suffering reduced usability to protect against a non-issue.«)

Das klingt für mich überraschend abgehoben. So eine Aussage würde ich eher von einem Bonzen erwarten, der in seinem dicken Mercedes allein in die Arbeit fährt, um dort in seinem Einzelbüro mit Panoramafenster und Yucca-Palme zu sitzen. Großraumbüros und öffentliche Verkehrsmittel sind offensichtlich ein Nicht-Thema.

Menschenmassen an einem Bahnsteig.
Es schaut einem doch niemand über die Schulter. Das ist ein Nicht-Thema. (Pariser U-Bahn während eines Streiks. Bildquelle: Raphael Goetter, CC BY 2.0, Bild nachträglich komprimiert)

Auch in kleinen Büros bin ich schon oft hinter Leuten gestanden, die gerade dabei waren, Passwörter am PC einzutippen. Und mit allgegenwärtigen Smartphones ist das Über-die-Schulter-schauen endgültig auch zum allgegenwärtigen Problem geworden.

Nielsens Artikel ist aus dem Jahr 2009. Ich hätte es deshalb ja zumindest verstanden, wenn er Smartphones da noch nicht die gleiche Bedeutung zuschreibt, die sie heute haben. Allerdings betont er ausgerechnet im selben Text, dass die Passworteingabe besonders auf mobilen Geräten schwierig ist. Außerdem hat er im Jahr 2013 eine kurze Ergänzung geschrieben, in der er weiterhin nicht von seiner strengen Anti-Maskierungs-Einstellung abweicht.

Generell sind Argumente mit den Wörtchen »üblicherweise« oder »normalerweise« bei Sicherheitsthemen sehr mit Vorsicht zu genießen. Üblicherweise kommt niemand auf die Idee, in meine Wohnung hinein zu spazieren und mitzunehmen, was ihm gefällt. Ich habe trotzdem ganz gerne eine verschließbare Wohnungstür. Die allermeisten Schutzmaßnahmen schützen uns vor unwahrscheinlichen Fällen und nicht vor dem Alltäglichen.

Es wartet kein Schurke hinter der Hausecke

Generell sollte man sich auch vor Augen halten, dass sich Gefahren im Alltag nur selten mit Hollywood-Klischees decken. »Üblicherweise« schaut einem kein »böser Hacker« über die Schulter und hinter der nächsten Hausecke lauert auch kein dubioser Mafioso, der seinen Schnurrbart zwischen den Fingern zwirbelt und dabei diabolisch lacht. Das heißt aber nicht, dass es keine Gefahren gibt. Sie sehen bloß ganz anders aus. Nicht selten bemerkt man sie erst dann, wenn der Schaden da ist.

Comic-Figur mit langem Schnurrbart und schwarzem Anzug mit Zylinder, sich die Hände reibend und böse grinsend.
Wenn es Dir noch nicht passiert ist, dass Dir so jemand beim Passwort-Tippen über die Schulter geschaut hat, heißt das noch lange nicht, dass es keine Gefahren gibt. (Bildquelle: J.J. at the English language Wikipedia, CC BY-SA 3.0, Bild nachträglich verkleinert)

Es genügt, wenn jemand ein Selfie ins Internet stellt – und schon kann es sein, dass dieser jemand im Hintergrund einen Bildschirm inklusive ausgefülltem Anmeldeformular mit der ganzen Welt geteilt hat. Die Leute, die den Account-Inhaber anschließend »hacken«, sind dann nur selten anarchistische Computerexperten in dunklen Kellern, sondern stinknormale, gelangweilte Jugendliche.

Und ja: Solche Pannen mit Details im Hintergrund kommen tatsächlich vor. Durch die Presse ging etwa ein Twitter-Foto der Emergency Management Agency in Hawaii mit einer Passwort-Notiz auf einem Post-it im Hintergrund. Auch der französische Fernsehsender »TV5 Monde« veröffentlichte so versehentlich seine Zugangsdaten für YouTube, Twitter und Instagram.

Unmaskierte Passwörter sicherer als maskierte?

Trotz alledem stellt Jakob Nielsen die These auf, dass unmaskierte Passwörter womöglich sogar sicherer sind als maskierte. Die Erklärung: Wegen der Schwierigkeit beim Eintippen würden Benutzer eher zu simplen Passwörtern greifen oder sie irgendwo abspeichern, um sie nur kopieren zu müssen.

Das klingt auf den ersten Blick logisch. Es lässt aber komplett außer acht, dass es schon lange vor dem Eintippen zahlreiche Gründe für schlechte Passwort-Verwaltung gibt:

  • Man muss wissen, wie ein sicheres Passwort aussieht.
  • Man muss wissen, dass man ein Passwort nirgends aufschreiben oder speichern soll.
  • Man muss ein Passwort finden, das man sich merken kann.
  • Man muss unterschiedliche Passwörter für unterschiedliche Accounts finden.
  • Man darf nicht zu bequem sein, um das auch konsequent durchzuziehen.

Die Unsicherheit beim Eintippen kommt in einer solchen Liste wahrscheinlich an letzter Stelle.

Ich war schon öfters mit Passwörtern konfrontiert, die ganz vorsintflutlich mit Kugelschreiber auf Papierformularen festgelegt wurden. Das waren in der Regel die kürzesten und primitivsten Passwörter, die man sich vorstellen kann – Vornamen, Geburtstage et cetera. Und da ging es nicht etwa um irgendwelche Wegwerfprodukte, sondern um heikle Dinge wie Sparbücher oder Mobilfunkverträge. Maskierung war hier definitiv kein Grund für die schlechte Passwort-Wahl.

Viel ernster sehe ich das zweite genannte Problem: dass Maskierung wenig versierte Tipper dazu einladen könnte, das Passwort in einer Textdatei abzuspeichern, damit sie es nur kopieren müssen. Das ist ein viel größeres Risiko als beispielsweise eine Notiz auf einem Post-it, weil so eine Datei nicht nur von Leuten im Raum gefunden werden kann, sondern auch von Viren, Hackern und Skript-Kiddies über das Internet.

Unsicherheit als Standard?

Trotz aller Kritik muss ich zugeben, dass maskierte Passwörter eine Hürde sein können. Letztendlich ist das aber auch der Sinn von Sicherheitsmaßnahmen. Ich könnte schließlich auch wesentlich bequemer in meiner Wohnung ein- und ausgehen, wenn sie keine Tür hätte, aber dann hätte ich auch keine Sicherheit. Usability und Security stehen sich da oft diametral gegenüber.

Nielsen trägt dem auch Rechnung, indem er vorschlägt, Passwortmaskierung bei Bedarf manuell aktivieren zu können. Nur bei Hochrisiko-Anwendungen würde er die Maskierung standardmäßig einschalten. In diesem Punkt stimmt ihm auch Bruce Schneier, ein führender Experte für Computersicherheit, zu.

So eine Umschaltmöglichkeit zwischen Maskierung und Nicht-Maskierung ist sicher ein guter Kompromiss und ist auch immer häufiger in der Praxis zu sehen. Allerdings ist mir das bisher nur in jener Form untergekommen, in der das Passwort standardmäßig maskiert ist – und das halte ich auch für verdammt richtig so.

Login-Formular. Das Passwortfeld hat am rechten Rand ein angeklicktes Augensymbol und das eingetippte Passwort »geheim« ist in Klartext sichtbar.
Passwortfeld mit Einblendeoption auf gmx.at. In der Standardeinstellung ist das Passwort maskiert.

Wie gesagt, sind wir uns der tatsächlichen Gefahren nur selten bewusst und an Standardeinstellungen ändert Max Mustermann erfahrungsgemäß nur selten etwas. Einen Feuermelder schalte ich ja auch nicht nur dann ein, wenn ich eine Pfanne unbeaufsichtigt am Herd stehen lasse. Die Küche würde mir genau dann abbrennen, wenn ich einmal darauf vergesse.

Wenn man sein Passwort schon zweimal falsch eingegeben hat, wird man in seiner Verzweiflung vielleicht auf die Funktion zum Unmaskieren aufmerksam. Aber wird man bei einem standardmäßig in Klartext dargestellten Passwort auf die Funktion zum Maskieren aufmerksam, wenn irgendjemand im Raum sein Smartphone hochhebt, um – möglicherweise – ein Selfie zu machen?

Nicht zuletzt stellt sich auch die Frage, was es auf Dauer für eine psychologische Wirkung hätte, wenn man seine Passwörter ständig im Klartext sieht. Wären sich Leute ohne Informatikausbildung dann überhaupt noch bewusst, dass sie das nirgends so abspeichern dürfen, wenn es doch scheinbar ganz normal ist, dass es jeder sehen kann?

Kommentare

Neuen Kommentar schreiben

Bisherige Kommentare

Es sind noch keine Kommentare zu diesem Artikel vorhanden. Traue Dich und schreibe als erster Deine Meinung!