Wenn es um Online-Sicherheit geht, schiebt man gerne die Schuld auf die Nutzer. Es werden meistens die User dazu aufgefordert sich sicherheitsbewusster zu verhalten. Das stimmt auch. Dabei könnte die Branche selbst was tun, um die Sicherheitsstandards zu erhöhen.

Sie kennen die üblichen Tipps: „Lange und komplizierte Passwörter und für jeden Account ein anderes. Nicht auf angehängte Links klicken von E-Mails, die Sie nicht kennen.“ Obwohl diese Tipps bei fast jedem bekannt sind, hat sich wenig verändert.  In Deutschland waren die drei beliebtesten Passwörter im Jahr 2018 „12345“, „123456“ und „123456789“.

Unter Entwicklern ist eine Haltung verbreitet, die den Usern die Verantwortung zuschiebt. Wer schwache Passwörter verwendet, ist selbst schuld. Das Problem sitzt vor dem Computer. Das Problem ist aber, dass die meisten Nutzer heutzutage nicht mehr vor dem Computer sitzen oder gar einen besitzen, sondern am Smartphone und sich mit anderen Dingen im Leben beschäftigen. Da gehen solche Tipps mal an einen vorbei.

In diesem Beitrag geben wir Ihnen acht konkrete Vorschläge, wie Sie als Webseiten-, Onlineshop- oder App-Inhaber, die Sicherheit der Nutzer, mit durchdachter User-Experience erhöhen können.

1. Passwort Hashes statt Klartext

Passwörter sollte nicht im Klartext in Datenbanken gespeichert werden. Bestenfalls kennt ein Dienst die Passwörter seiner Nutzer gar nicht, sondern nur Hashes. Es ist theoretisch möglich aus den Hashes, Passwörter auszurechnen, ist jedoch sehr aufwendig.

2. Benutzername statt E-Mail

Anwender neigen dazu dieselbe Kombination aus E-Mail-Adresse und Passwort, bei verschiedenen Diensten zu benutzen. Angreifer, die solch eine Kombination erbeutet haben, können sich bei allen möglichen Diensten durchprobieren.

Natürlich können Anbieter kein Einfluss darauf haben, welche E-Mails, bei welchen Anbietern benutzt werden. Aber sie können das Log-in so gestalten, dass nach einem Benutzernamen gefragt wird.

3. Bei Registrierung auf Leaks prüfen

Mittlerweile fordern viele Webseiten ein starkes Passwort bei Registrierungen. Mindestens X Buchstaben, mindestens ein Großbuchstabe, Zahl und Sonderzeichen. Oft zeigt es auch eine Art Ampel an, die grün aufleuchtet, wenn das Passwort passt.

Allerdings sind solche Passwörter schwierig zu merken, weshalb die meisten User dann, das gleiche Passwort auf verschiedenen Diensten verwenden. Dienste wie LastPass oder 1password sind gute Anbieter zur Passwortverwaltung.

4. Passwort-Generator mitliefern.

Meldungen wie: „Das Passwort ist zu kurz.“ oder „Das Passwort enthält keine Sonderzeichen.“ stören den User in Ihrem Fluss und führt dazu, dass sie dem „123456789“, einfach noch ein Ausrufezeichen anhängen.

Sicherheitsbewusste Anwender benutzen hier ein Passwort-Generator, doch die meisten leider nicht. Deswegen ist es praktisch, einen Passwort-Generator gleich mitzuliefern. Dadurch geben Sie dem Anwender die Möglichkeit, sein eigenes Passwort zu erstellen oder per Klick eines zu generieren.

5. Kein Single-Sign-On

Mittlerweile gibt es ja die Möglichkeit einen Account durch einen Klick zu erstellen. Facebook, Twitter und Google bietet die Option sich bei anderen Anbietern durch einen Klick mit dem vorhandenen Account zu registrieren.

Solche sogenannten Single-Sign-On-Lösungen sind zwar auf Nutzerebene ganz praktisch und zeitsparend, aus dem Sicherheitsaspekt ist es aber problematisch. Ein kleiner Sicherheitstipp: Single-Sign-Ons in Zukunft eher vermeiden.

Aus Bequemlichkeit werden viele User das eher nicht tun. Deshalb sollten sich Anbieter auf diese Art von Problematik bewusst sein und in Zukunft dieses Feature nicht anbieten.

6. Zwei-Faktor Authentifizierung

Die Zwei-Faktor-Authentifizierung ist ein weiterer Sicherheitstipp. Diese Lösung hat zwar Ihre Ecken und Kanten, erhöht die Sicherheit eines Accounts aber drastisch. Doch auch 2FA ist lästig, weshalb viele Nutzer das eher nicht nutzen möchten.

7. Gute Sicherheitsabfragen

Fragen nach der Lieblingsfarbe, das erste Haustier oder der Vorname der Mutter sind völlig unbrauchbar, denn solche Abfragen sind leicht zu erraten.

8. Links statt Buttons

Wenn ein Nutzer von seinem Account ausgesperrt ist, kann er sich ein Link per E-Mail zusenden lassen, dass sein Passwort zurücksetzt. Diese Art von Mails sind meisten mit viel Text und einem großen Button. Ein Link statt einem Button wäre in diesem Falle besser, da man sehen kann wie der Link aufgebaut ist.

Ebenso ist es besser die HTML-Ansicht im E-Mail Account auszuschalten, was aber viele nicht verständlicherweise tun. Als Anbieter sollte man daher auf grafisch aufbereitete Mails verzichten und es simpel halten.

 

Lassen Sie sich hier beraten zum Thema UX und bessere Sicherheit Ihrer Webseite.

Beitrag von Ahmet Daglar