Ich nehme gerade etwas verspätet am Change-Your-Password-Tag teil und habe jetzt nach wenigen Seiten schon wieder einige haarsträubende Dinge gesehen. Hier ein paar Beispiele, wie man es nicht machen sollte, wenn man ein „Passwort ändern“-Formular entwickelt.
Fangen wir mit etwas noch vergleichsweise Harmlosen an, bei einem Instant Messenger vergangener Tage:
Wie man sieht, ist das anvisierte neue Passwort keineswegs zu kurz. Merke: Wenn man eine untere und obere Grenze setzt, sollte die Meldung so formuliert sein, dass nicht die falsche Grenzverletzung angemeckert wird. Bonuspunkte gibt es immerhin dafür, die Grenzen explizit zu benennen, sonst könnte man sich hier länger wundern.
In diesem Zusammenhang: Warum um Himmels Willen würde man jemals die Länge des Passwortes begrenzen??? Ok, irgendwo ist eine technische Grenze, was man mit einem POST-Request übertragen kann. Meinetwegen kann man Passwort-Längen auf 500 Zeichen oder so begrenzen. Aber 16? Werden solche Regeln von Leuten aufgestellt, die erwarten, sich Passwörter am Telefon diktieren zu lassen?!
So, Beispiel Nummer 2. Jetzt wird es eklig. Ich suche mir als neues Passwort den String „ABCDEFGHIJKLMNOPQRSTUVWXYZ“ (mal als Beispiel, braucht ihr nicht auszuprobieren *g*) aus und kopiere ihn zwei Mal in das Formular. Alles läuft super, das neue Passwort wird gespeichert und ich werde ausgeloggt. Aber was ist nun los? Ich kann mich mit dem neuen Passwort nicht einloggen! Den Grund sieht man im Passwort-ändern-Formular, wenn man extra genau hinschaut:
Seht ihr es? Das Alphabet hat 26 Buchstaben, aber man sieht dort nur 20 Sternchen. Die Webseite hat also beim Reinkopieren still und heimlich nach 20 Zeichen abgeschnitten, ohne mir als Benutzer dazu ein Feedback zu geben. Genauer gesagt hat das der Browser getan, denn am Input-Field ist das maxlength-Attribut auf 20 gesetzt. Da das Feld breit genug ist, kann man es zumindest optisch sehen. Wäre das Feld nun noch relativ schmal, hätte man kaum eine Chance, den Fehler zu finden. Die Schuld liegt schon etwas bei den Browsern, die solche HTML5-Features umsetzen, ohne sich über so einen Punkt Gedanken zu machen. Andererseits: Wieso würde ein bekannter Zahlungs-Dienstleister überhaupt die Passwort-Länge beschränken?
Apropos Beschränken: Eine ganz schlechte Idee ist es auch, die eingebbaren Zeichen künstlich zu beschränken. Klar, wer einen Umlaut im Passwort verwendet wird sich ggf. im Ausland mal wundern, wenn die Taste nicht verfügbar ist. Da hat man dann halt mal Pech gehabt. Alle Nutzer haben dagegen Pech, wenn man Brute-Force-Attacken vereinfacht, indem mal z.B. sämtliche Sonderzeichen verbietet:
Mit solchen konkreten Vorgaben hat man die Anzahl der möglichen Passwörter schon mal deutlich reduziert. Wenn nun die Anzahl fehlgeschlagener Logins nicht beschränkt ist oder die Datenbank mal in falsche Hände fällt, dauert es gleich viel weniger lange, die Passwörter zu entschlüsseln.
So, ich ändere jetzt mal weiter meine Passwörter. Wenn ich weitere schöne Beispiele finde, ergänze ich den Beitrag…
Hallo Johannes. Da kann ich Dir auch einen Fall liefern 😛
Ein Zahlungsanbieter für online-Ticket der Regionalbahn. Am PC auf die Website, Kundenkonto anlegen. Keine Hinweis wie „mein“ Passwort auszusehen hat, also mit meinem Tool mein Passwort generieren lassen und submit an der Server. Response vom Server, nur Zahlen verwenden. Okay dachte ich mir, wenn nur zahlen, dann aber viele. Nächster Versuch, 20 Ziffern generiert und weg damit. Wieder fehlgeschlagen, „zu viele Zeichen“ ohne den Hinweis wie viele es denn nun sein sollen. Das Spiel ging so lange, bis ich bei 8 Zeichen meinen Login generieren konnte. Jedoch wird es jetzt noch besser. Smartphone App installiert, da ein unterwegs gekauftes Ticket dann mit einem QR-Code generiert wird, will mich an der App anmelden / einloggen, sind auf einmal nur 6 Zeichen zur Eingabe des Passworts möglich, keine Chance mit dem Smartphone mehr Zeichen in das Passwort Input-Feld zu bekommen. Schlussfolgerung, zurück an den PC und wieder das Passwort geändert und verkürzt. So ein Quatsch und so mega schlecht, auch aus usability-Sicht programmiert! Und denen vertraut man dann seine Zahlungsdaten an …
Sehr schöne Geschichte! Da sollte man sicher aber wirklich höflich aber bestimmt drüber beschweren.