Hallo,
Jakob Nielsen[1] hat neulich einen Artikel »Stop Password Masking« veröffentlicht, in dem er sinngemäß folgendes sagt:
Usability leidet darunter, wenn Benutzer bei der Eingabe von Passwörtern
lediglich eine Reihe von Platzhalterzeichen erhalten. Normalerweise
erhöht das Maskieren von Passwörtern nichtmal die Sicherheit, sondern
es kann aufgrund der Schwierigkeiten beim Login eher noch Ihrem
Geschäft schaden. [2]
Nielsen empfielt, Passwortfelder mit Klartext zu beschreiben und dazu eine Checkbox anzubieten, die angeklickt werden kann, wenn sich der Benutzer in der Öffentlichkeit befindet, so dass die Eingabe dann wie gewohnt maskiert wird und niemand über seine Schulter blicken kann, um das Passwort auszuspähen.
Vorgabe ist jedoch, dass die Checkbox nicht aktiviert ist, das Passwort also im Klartext ausgegeben wird.
Wie seht ihr das? Ich glaube, dass es sicherheitstechnisch bedenklich ist, Passworteingaben nicht zu maskieren. Ist erst eine Aktion nötig -- Checkbox aktivieren --, um die Eingabe zu verstecken, wird die Gewohnheit in manchen Fällen dazu führen, dass der Benutzer nicht daran denkt, das Passwort zu maskieren.
Und natürlich gab es bereits Kritik an Nielsens Aussage, der Benutzer säße in den meisten Fällen sowieso zuhause vorm Bildschirm, wo ihm niemand über die Schulter schaut. Denn Großraumbüros, Mobiles Internet, Freie WLANs, Internetnutzung bei Veranstaltungen, Social Networking vor Ort, das aktuell beliebt werdende Coworking [3] oder auch technische Features wie Screen-Sharing schaffen viele Situationen, in denen der Bildschirm eben nicht immer vollkommen privat ist. Passwörter im Klartext einzugeben kann hier durchaus gefährlich sein.
Als Mittelweg zwischen Nielsen und den gewöhnlichen Passwortfeldern fanden wir die Variante sinnvoll, die auf dem iPhone eingesetzt wird: Allein das zuletzt eingegebene Zeichen wird für 2-3 Sekunden im Klartext ausgegeben, um dem Benutzer eine Rückmeldung seiner Eingabe zu geben.
Und inzwischen haben wir ein jQuery-Plugin gebaut, das versucht, diese Methode auf Webformulare zu übertragen. Es gibt noch ein paar Makel und Einschränkungen, von denen manche vermutlich nicht lösbar sind, aber grundsätzlich funktioniert es schon halbwegs gut. Eine Demo gibt's im Blogeintrag zum Plugin:
http://blog.decaf.de/2009/07/iphone-like-password-fields-using-jquery/
Hier im Forum wird in letzter Zeit viel JS diskutiert. Ich würde mich freuen, wenn ihr Lust habt, einen Blick auf das Plugin zu werfen und Feedback zu geben. Technisch ist das erst der erste Wurf, und es gibt sicherlich noch vieles zu verbessern.
Ganz allgemein bin ich auch gespannt, ob ihr die Methode halbwegs sinnvoll findet oder nur als Gefrickel anseht ;)
Viele Grüße
_Dirk