Die große Lüge der Computersicherheit besteht darin, dass sich die Sicherheit erhöht, wenn Benutzern komplexe Passwörter aufgebürdet werden. Im wahren Leben schreiben Menschen sich alles auf, was sie sich nicht merken können. Eine Erhöhung der Sicherheit kann (darum nur) durch ein an menschliches Verhalten angepasstes Design erreicht werden.
Usability Vertreter und Sicherheitsbeauftragte verfolgen zwei widersprüchliche Ziele:
Vereinfache den Beginn der Systemnutzung;
Idealerweise ohne spezifische Zugangs- / Login-Prozeduren.Erschwere den Zugang zu einem System,
besonders für Benutzer ohne Zugangserlaubnis.
Dies ist ein fundamentaler Konflikt. Wie kann er gelöst werden? Die Antwort liegt in der Erkenntnis, dass das wahre Ziel der Sicherheitspolitik darin besteht, die relative Anzahl unbefugter Benutzer zu minimieren. Ein System, das niemand benutzen kann wird keinen unbefugten Benutzer haben, aber niemand würde ein solches System konstruieren.
Sicherheitspasswörter erleichtern unbefugte Zugriffe
Die großen Lügen der Computersicherheit sind:
Zufällig generierte Passwörter sind sicherer.
Ein vom System gewähltes Passwort ist sicherer als ein vom Benutzer gewähltes Passwort.
Lange Passwörter sind sicherer.
Wenn der Benutzer häufig gezwungen wird sein Passwort zu ändern, erhöht dies die Sicherheit.
Verschiedene Passwörter für verschiedene Systeme erhöhen die Sicherheit.
All diese Behauptungen wären wahr, wenn wir den Faktor Mensch außer acht lassen könnten.
Im wahren Leben führen Passwörter, die den gerade genannten „Sicherheits-erhöhenden Prinzipien“ entsprechen, zu folgenden Ergebnis: Benutzer notieren sich ihre Passwörter. Machen Sie einen Rundgang durch alle Büros der Welt. Sie können dabei so viele Passwörter sammeln wie sie wollen, wenn Sie folgende Strategien anwenden:
Schauen sie auf die gelben post-it Zettelchen die am Computer angebracht sind.
Schauen Sie auf die Spickzettel, die der Benutzer in seiner obersten Schreibtischschublade aufbewahrt
Suchen Sie auf der Festplatte nach der Datei, die alle Passwörter auf einmal enthält (praktischerweise maschinenlesbar)
Gedächtniskünstler sind die einzigen Menschen die sich lange Ketten zufälliger Zeichenfolgen merken können. Design sollte sich an normalen Menschen mit ihren beschränkten Gedächtniskapazitäten orientieren.
Einfache, für den Benutzer leicht erinnerbare Passwörter, werden mit erhöhter Wahrscheinlichkeit geheim bleiben. Das gleiche gilt für Passwörter, die der Benutzer selbst gewählt hat oder die nicht allzu häufig gewechselt werden.
Zugegeben: diese Passwörter sind einfacher zu knacken. Allerdings wird die größere Anzahl von Sicherheitsvergehen nicht durch den Einsatz von „Hacker-Algorithmen“ ermöglicht, sondern durch die Ausnutzung menschlicher Schwächen durch Eindringlinge, aber auch durch firmeninterne Mitarbeiter.
Zukünftig werden wir durch biologischer Verifikationsmechanismen wie zum Beispiel „Erkennung des Fingerabdrucks“ oder „Scannen der Retina“ zu gesteigerter Sicherheit gelangen. Es wird einige Zeit benötigen, um diese Infrastruktur aufzubauen und es wird einige Menschen geben, die aus bestimmten Gründen nicht in der Lage sein werden ihren Fingerabdruck zur Identifikation zu benutzen.
Momentan ist die Prozedur zur Anmeldung an ein System noch sehr umständlich gestaltet. Darum wäre es das Beste, den Benutzern bei Systemen mit niedrigen Sicherheitsanforderungen einfach nur Cookies zuzuschicken.
Web Design zur Erreichung gebrauchstauglicher Sicherheit
Benutzer sollten nicht dazu gezwungen werden, eine Benutzer-ID und ein Passwort zu generieren, um auf einer E-Commerce Seite einkaufen zu können.
Viele Käufe werden nicht getätigt, weil potentielle Kunden durch die Anforderung, sich eine einzigartige Benutzer-ID auszudenken, abgeschreckt werden oder weil sie nicht verstehen, wie sie mit Passwörtern umgehen sollen.
Selbst wenn die Registrierung entfällt, erfordern viele Seiten noch, dass die Benutzer auf irgendeinem Weg "Mitglieder" werden.
Ein klassisches Usability Problem besteht darin, dass Benutzer, wenn sie ihre Email-Adresse als ID angeben sollen, davon ausgehen, dass sie ihr (altes) Email oder AOL Passwort bei der Passwortabfrage eingeben müssen. Wird (von einem Benutzer) so verfahren, stellt dies in der Tat ein Sicherheitsproblem dar. Außerdem bremst es die Benutzer, die sich an ihr Passwort nicht erinnern können (weil es z.B. fest in ihrer Software gespeichert ist).
Wir empfehlen, Benutzern die Möglichkeit offen zu lassen ihre Email-Adresse anstelle einer Benutzer-ID einzugeben: Es wird dadurch garantiert, dass diese einmalig ist und außerdem ist sie leicht zu erinnern. Allerdings sollte es einen Hinweis darauf geben, das ein neues Passwort benutzt werden soll. Weiterhin sollte erklärt werden, dass Benutzer sich ihr Passwort selbst ausdenken müssen. Wir fanden in Untersuchungen heraus, dass Benutzer oft glauben, das Passwort würde ihnen zugeschickt (einige Systeme funktionieren so). Solche Benutzer fahren sich fest (oder noch wahrscheinlicher: schließen den Internet-Browser) ohne jemals ihr Account eingerichtet zu haben.
Einige Internetseiten haben strenge Anforderungen an das Format von Passwörtern. Es ist empfehlenswert, die Regeln, so weit es die Natur des Systems erlaubt, aufzuweichen. Selbstverständlich muss ein System, was für Millionen-Dollar-Geschäfte vorgesehen ist, sicherer sein, als eines was das Lesen einer Zeitung ermöglicht.
Wenn Regeln zu streng sind, werden viele Benutzer nicht in der Lage sein, Benutzernamen oder Passwörter zu generieren, die für sie noch einen Sinn ergeben. Dies erhöht die Wahrscheinlichkeit, dass Benutzer bis zum nächsten Log-In ihre Zugangsdaten wieder vergessen haben. Vergessenen Passwörter sind die Ursache von unzähligen wiederholten Registrierungen: Menschen haben des öfteren 5-10 Accounts für die selbe Internetseite.
Anweisungen für Benutzer-IDs und Passwörter sollten sich direkt neben dem entsprechenden Eingabefeld befinden:
Passwort: |
Irgendwelche anderen Platzierungen führen dazu, dass Benutzer die Anweisungen nicht lesen.
Einmaliges Anmelden beim System
Jede von uns bisher durchgeführte Sicherheitsstudie führte zu folgender Erkenntnis: Benutzer wünschen sich ein einmalige Anmeldung, die für die gesamte Nutzung des Systems ausreicht. Niemand meldet sich gerne wieder und wieder von Neuem an.
Ein Hauptproblem ist hierbei die Definition von „System“. Idealweise würde sie die Gesamtnutzung bedeuten, so dass man sich nur ein einziges Mal anmelden müsste. Die Tatsache, dass Benutzer viele verschiedenen Internetseiten besuchen, sollte nicht ihr Problem sein. In Zukunft wird der PC (als „Personal Computer“) vielleicht tatsächlich „persönlich“ sein und dem Benutzer als sein Privatagent im Cyberspace dienen, der die Verantwortung für Passwörter und Benutzer-ID übernimmt.
Die Minimaldefinition von „System“ sollte alles, was unter der Kontrolle des Benutzers ist, einschließen: Einmaliges Anmelden für das Einsehen eines Kontos und für geschäftliche Transaktionen; einmaliges Anmelden für den Zutritt in ein Extranet und die Prüfung des Status einer Bestellung. Die nachgestellten Computer mögen vielleicht fordern, dass nur bestimmte Benutzer bestimmte Privilegien erhalten, dies sollte allerdings transparent und ohne die Notwendigkeit zusätzlicher Anmeldungen erfolgen.
Abmelden vom System
Bei sicherheitskritischen Systemen fühlen sich die Benutzer wohler, wenn sie einen speziellen „Log-Out“ bzw. „Abmelden“ Button vorfinden. Bei den meisten Systemen jedoch wird vorausgesetzt, dass Benutzer sich nicht explizit abmelden, sondern einfach die Seite verlassen. Dies macht die Seele des Internets aus und muss darum von einem Sicherheitssystem unterstützt werden. Es ist jedoch nicht ratsam, automatische Abmeldungen („time-outs“) zu früh auszulösen. Benutzer ärgern sich, wenn sie einfach nur eine kurze Pause gemacht haben und sie danach vom System abgemeldet sind. Bei den meisten nicht-sicherheitskritischen Systemen ermöglicht ein „Time-out“ Intervall von einer Stunde eine Mittagspause und erhöht gleichzeitig die Sicherheit.
