Müllers kleines ABC (Netzwoche Nr. 15, 2019): P wie Passwortregeln - Albernheiten wie "123456" oder "passwort" besetzen seit Jahren Stammplätze in den Hitparaden der beliebtesten Passwörter. Komplexe Passwortregeln sind aber nicht die beste Lösung um das Problem zu beheben.
«Sagen wir es mal so: Passwortregeln sind dazu da, unwissende, faule oder sonst wie schwierige Menschen davon abzuhalten, unsichere Passwörter in die Welt zu setzen.»
Albernheiten wie "123456" oder "passwort" besetzen seit Jahren Stammplätze in den Hitparaden der beliebtesten Passwörter. Deshalb versuchen die Leute aus der Informatik ja, ihre Nutzerschaft mit immer ausgefuchsteren Passwortregeln vor sich selbst zu schützen. Das äussert sich dann etwa so: "Das Passwort muss zwischen 6 bis 12 Zeichen lang sein und aus einer zufälligen Zeichenfolge bestehen. Es muss mindestens ein Sonderzeichen, einen Grossbuchstaben und eine Ziffer enthalten. Nicht erlaubt sind &, %, #, @." Und wer Pech hat oder bei einem internationalen Konzern arbeitet, muss es auch noch alle drei Monate wechseln.
Das ist ja gut gemeint – im Alltag aber viel zu kompliziert. Ausserdem nervt es die Nutzer, weil sie sich bevormundet fühlen. Kein Wunder also basteln sie sich ein «gutes» Passwort zusammen – und verwenden dann überall das gleiche. Andere erfinden raffinierte Passwortsysteme, die zu den Regeln passen, aber einfach zu merken sind und sich beliebig variieren lassen. Mit "Katzenfreund1!" bis "...99!" ist man wahrscheinlich weitum compliant – aber sicher nicht sicher.
So geht der Schuss letztlich nach hinten los. Hinzu kommt, dass rigide Passwortregeln der Konversionsrate nicht eben helfen. Manch eine (Männer mitgemeint) bricht die Registrierung ab, weil sie zu lange pröbeln muss, bis der Website ihr Passwort endlich passt. Dabei sagt uns die Forschung schon länger, dass Passwörter nicht besser werden, wenn sie möglichst kompliziert sind und viele Sonderzeichen enthalten. Wichtig ist vielmehr, dass sie lang sind und unlogisch.
Weniger wäre auch hier besser. Wer Sicherheit im Schilde führt, macht es den Nutzern so einfach wie möglich. Lange, leicht zu merkende Passphrasen sind deutlich besser als maximal kryptische Passwörter – nicht nur für die Sicherheit, sondern auch fürs Geschäft.
Wir freuen uns, von Ihnen zu hören.
Inhaber, Expert Consultant
Dr. Christopher H. Müller, Gründer und Inhaber der Ergonomen Usability AG, promovierte am Institut für Hygiene und Arbeitsphysiologie der ETH Zürich. Er ist seit mehr als 22 Jahren Experte für Usability und User Experience. Sein ausgeprägtes Einfühlungsvermögen ermöglicht es ihm, rasch die Bedürfnisse und Perspektiven der Kunden zu verstehen. Mit viel Kreativität und Mut unterstützt er seine Kunden in Digitalisierungsvorhaben und bei der Optimierung von Produkten, Dienstleistungen oder Prozessen. Er verfolgt einen praxisorientierten Ansatz und entwickelt massgeschneiderte Lösungen, die effektiv umgesetzt werden können. Dr. Christopher H. Müller ist Kolumnist in der Netzwoche. Weitere Engagements sind unter anderem Stiftungsrat bei der Stiftung Zugang für alle, Mitglied in zwei Swico-Beiräten und Co-Präsident der Regionalkonferenz Nördlich Lägern.