IT-Sicherheit: Passwort-Maskierung ein Risiko?

**gullinews** · 29. 06. 2009, 16:50

Formulare mit maskierten Passwörtern erschweren die Nutzung und tragen nicht zur Sicherheit bei - dieser Auffassung sind Usability-Guru Jakob Nielson und Sicherheitsexperte Bruce Schneier.

Aus Sicht der Usability ("guten Nutzbarkeit") von Applikationen, vor allem mobiler Geräte, würde die Maskierung von Passwörtern mehr Nachteile als Vorteile bringen. Denn weil man statt den Ziffern und Buchstaben beim Eintippen nur Punkte oder Sternchen sieht, statt dem eigentlichen Inhalt, kommt es zu oft Eingabefehlern, welche die Nutzer frustrieren. Langfristig tendieren diese dann dazu, sich besonders einfache Passwörter zu suchen. Oder aber sie machen ausgiebigen Gebrauch von Copy&Paste, während sie die Passwörter lokal in einer Daten abspeichern - was auch nicht unbedingt der Sicherheit zuträglich ist.

weiterlesen

**Shodan_v2-3** · 29. 06. 2009, 17:12

Ich entschuldige mich hiermit im Namen meiner Spezies dafür, dass wir zu degeneriert sind uns vierstellige Pin-Nummern zu merken.

**OerkelusTotalus** · 29. 06. 2009, 17:21

Ich finde es sollte wenn dann andersrum sein. Also einen optionalen Haken wenn man keine Maskierung will. Find es generell schon sinnvoll, dass es maskiert ist.

**daemonicus** · 29. 06. 2009, 17:23

pech wer sich nicht mal ein wort merken kann

**energy107** · 29. 06. 2009, 17:32

Lol, die wollen anstatt der Sternchen den Klartext anzeigen?
Auf die Idee können nur Leute kommen die den ganzen Tag im Keller sitzen. Da guckt auch keiner zu. Aber wenn man bei Freunden ist, Schule, Arbeit, Remote oder sonst wo, wo einem jemand zuguckt, dann will man garantiert nicht das da jeder das PW mitlesen kann.

**Mr_Chainsaw** · 29. 06. 2009, 17:34

Wahrscheinlich wissen diese Spezialexperten-Gurus auch nicht, dass alle elektronische Geräte etwas charakteristisches abstrahlen, woraus man z.B. ziemlich genau die Darstellung des Bildes rekonstruieren kann und natürlich auch unmaskierte Passwörter. Das ganze ist ohne Probleme über kleinere Entfernung möglich und ich bin mir ziemlich sicher, dass es Dienste gibt mit entsprechenden gerichteten Antennen die das auch über große Entfernungen von einigen Kilometern hinbekommen.
Es handelt sich also nicht um eine unbewusste „Benutzerunfreundlichkeit“ sondern wurde früher implementiert um Industriespionage vorzubeugen.

**hooz** · 29. 06. 2009, 17:42

7-zip macht das ja bereits vor.
Per default mit Sternchen und per "Uncheck" der Checkbox würde ich wohl als sinnvoll erachten.

**.drunken** · 29. 06. 2009, 17:52

Wofür kann man den bei FF sich die Passwörter anzeigen lassen, entwerder als "*****" oder als "buchstaben" ^^ Ich finde die Option klasse wenn man mal bei Freunden ist ^^

Man sollte es den Menschen aber auch nicht zu einfach machen

**l_uft** · 29. 06. 2009, 18:05

das iphone macht das ganz nett: man sieht den zuletzte eingegeben buchstabe im passwortfeld für ca. 2s in klartext, sobald man den nächsten tippt oder diese zeit um ist, wird es maskiert. so ist man halbwegs sicher gegenüber schulterblicken und sieht zeitgleich, dass man den das richtige zeichen erwischt hat. hatte damit noch nie probleme

**ottaku** · 29. 06. 2009, 18:08

Zitat von daemonicus

pech wer sich nicht mal ein wort merken kann

Ein Wort? Du solltest dein Passwort nochmal überdenken.

Die Masikierung ist generell vom Vorteil wenn man oft Besuch hat oder -wie schon aufgeführt wurde- an öffentlichen Orten ist. Ich persönlich habe kein Problem damit z.B. meine TrueCrypt PWs (die mehr als 15 Zeichen haben um ungenau zu sein

) maskiert einzugeben.

Anderereits weiß ich auch nicht, ob es wirklich einen Vorteil bringt, wenn man das PW sieht. Denn gerade bei meinen PWs konzentriere ich mich etwas mehr auf das Tippen als auf das was auf dem Bildschirm erscheint.

Und aus Gewohnheit tippe ich meine PWs blind drauf los. Wenn nun plötzlich Seiten anfangen, die PWs im Klartext anzuzeigen wäre das ne ziemliche Umstellung. Wenn also die PWs standardmäßig maskiert bleiben und optional auch unmaskiert angezeigt werden können, habe ich nichts dagegen wenn das des Öfteren angeboten wird.

**Xav0r_** · 29. 06. 2009, 18:17

Das Hauptproblem von einfachen Passwörtern ist ja, dass es immer mal wieder so Raubzüge gibt, wo mehrere tausend zB eBay-Accounts erbeutet werden. In diesen Raubzügen lässt man eine Liste von ca. 200 einfachen Passwörtern (in einem Fall, über den in der Zeitung berichtet wurde, waren das 200 gängige Frauennamen) durchlaufen, bis man eine Übereinstimmung hat.

Ergo: Alles, was auch nur im entferntesten dazu führt, dass Opa nicht mehr Edeltraud oder Margarete (oder wie auch immer Oma heisst) als Passwort nimmt, wenn er sich einen Satz Reifen bei eBay bestellt, ist sehr wünschenswert.

**DanteConstantin** · 29. 06. 2009, 18:58

Es gibt tatsächlich es eine Reihe von öffentlichen Situationen, in denen man Passwörter eingeben muss:

Bitte noch einmal lesen und korregieren.

btt:

Internetführerschein
[x] JA
[ ] NEIN

Wer könnte denn überhaupt soetwas einführen?

**TwilightKitten** · 29. 06. 2009, 19:52

Ich benutze Kombinationen aus Zahlen, Buchstaben und Sonderzeichen. Und da hätte ich schon gern, dass ich das Eingegebene klar lesen kann.
Bei 7Zip gibt es diese Funktion schon. Warum nicht auch woanders?

**Sunai** · 29. 06. 2009, 19:52

Meiner Meinung nach ist das bei Programmen wie TrueCrypt und 7zip eine gute Lösung.
Aber bei Internetseiten bin ich da gar kein Fan von. Gerade für die "Zielgruppe" (Beim Tippen auf Tastatur schauer Generation), die Probleme haben sich ein Passwort zu merken wäre es wahrscheinlich ein größeres Problem erstmal zu registrieren ob das Passwort jetzt im Klartext angezeigt wird.
Wie oft habe ich schon Leuten über die Schulter oder auf den Beamer geschaut, die vergessen haben den Cursor aufs Passwortfeld zu setzen und es somit ihr Pass im Benutzerfeld eingegeben haben.

**Metal_Warrior** · 29. 06. 2009, 22:02

Also mich würde das nur irritieren. Bei einer wilden Kombination aus großen/kleinen Buchstaben, Zahlen und Sonderzeichen wüsste ich erst recht nicht mehr wo ich bin und was das Nächste ist. Ich glaub, ich weiss mein Kennwort gar nicht auswendig. Meine Finger wissen das. Und wenn sie sich vertippen, muss ich halt nochmal anfangen. Mit dem Clear könnte ich eh nix anfangen

**-ZiGGY-** · 30. 06. 2009, 02:44

also Jacob Nielson hat nen ganz schön langen Schatten.
Und unsicher find ich das hinsichtlich dem Monitor-"abhören" auch.
Eine Option im Browser wäre sicherlich nett, für Leute die damit nicht klar kommen, die sollen die Maskierung ja gerne ausschalten können.
Das ist doch so, als würde man die H-Schaltung einfach mal um 180 Grad drehen, die wird dadurch auch kein Stück unlogischer aber würde nur stress bringen...
oder wir führen ab morgen linksverkehr ein

soll er doch nen FF-Addon schreiben wenn er das haben will

**wawnorden** · 30. 06. 2009, 14:34

lol wer scannt denn noch monitore ab?... Nen Keylogger der einen untergeschoben wird und jeden Tag brav seine Ergebnisse zu Kaffeekampftrinker XY per Mail schickt, ist viel einfacher und effektiver.

Und da können auch gerne Sternchen sein , so viel sie wollen .

genau das selbe in Internetcafes etc. wer da überhaupt nen PW eingibt gehört erschossen.

**IHateBoardReg** · 30. 06. 2009, 17:25

Zitat von wawnorden

lol wer scannt denn noch monitore ab?... Nen Keylogger der einen untergeschoben wird und jeden Tag brav seine Ergebnisse zu Kaffeekampftrinker XY per Mail schickt, ist viel einfacher und effektiver.

Und da können auch gerne Sternchen sein , so viel sie wollen .

genau das selbe in Internetcafes etc. wer da überhaupt nen PW eingibt gehört erschossen.

trotzdem kein Grund, das ganze auch noch klratext auf dem Bildschirm anzuzeigen