nicht angemeldet
Tach,
der Artikel spricht davon, Passwörter zu verschlüsseln, das ist fundamental falsch, es wird behauptet, dass ein Passwort-Reset-Mechanismus die Sicherheit verringert, was ich anzweifeln würde und mich würden die zugrundeliegenden Zahlen interessieren, die im ursprünglichen Nielsen-Artikel
zur Aussage „The more uncertain users feel about typing passwords, the more likely they are to (a) employ overly simple passwords and/or (b) copy-paste passwords from a file on their computer. Both behaviors lead to a true loss of security.“ geführt haben (mal davon abgesehen, dass beide Folgerungen, nicht unbedingt ein Problem darstellen(das hängt stark von der Einschätzung der Wichtigkeit der Sicherheit für genau diese Seite ab)).
http://uxmovement.com/forms/why-the-confirm-password-field-must-die/
Da bezieht man sich auf die Studie http://www.formisimo.com/blog/case-study-small-changes-lead-to-a-55-increase-in-conversions/, in der die vorhandenen Zahlen nicht ganz unproblematisch interpretiert werden:
14.3% more visitors starting the form after visiting the page
Ja, aber das sind nur 5% der Gesamtbesucher (gleichzeitig enthält der zweite Untersuchungszeitraum 33% mehr Besucher als der erste und ich bin mir nicht sicher, ob man dann mit den vorhandenen Zahlen schon außerhalb der Varianz liegt).
A 56.3% increase in overall conversions
Das sind immerhin fast 9% der Gesamtbesucher (Prozentangaben von kleinen Differenzen bei kleinen Absolut-Prozenten wirken immer wieder großartig).
A 23.9% decrease in the number of corrections made in the form
Diese Zahl könnte interessant sein, wenn man gleichzeitig wüßte, wie viele User sich mit dem vergebenen Passwort tatsächlich eingeloggt haben (vielleicht haben diejenigen, die früher korrigieren mussten, nämlich dann aufgegeben und keinen Reset angefordert (halte ich für unwahrscheinlich, aber die Zahlen geben es leider nicht her)).
Was allen Artikeln fehlt ist die Aussage, dass das Abspeichern mancher Passwörter ein Sicherheitsgewinn sein kann: Eines der größten Probleme ist nämlich die Wiederbenutzung von Passwörtern (d.h. wenn mein Passwort für irgendein obskures Forum das selbe ist, wie für meine Bank und ersteres in die falschen Hände fällt (weil nicht verschlüsselt übertragen oder unsicher gespeichert), habe ich ein Problem). Ich habe gerade nachgesehen, ich habe im vergangenen Jahr alleine 22 Passworte aus meinem Passwortcache im Browser auf diesem Rechner verwendet (das ist nur ein Bruchteil der dort vorhandenen Passworte), darunter obskure, die ich ziemlich sicher nicht häufiger als einmal im Jahr brauche (z.B. Krankenkasse und Energieversorger); diese kann ich mir nicht merken, wenn sie alle ausreichend sicher und unterschiedlich sind. Stattdessen muss ich mir nur drei Passwörter merken: FDE, Rechner-Login und Passwortcache; damit kann ich bei den gespeicherten Passwörtern die Sicherheit erhöhen, indem ich tatsächlich zufällige und ausreichend lange Passwörter verwende. Es gibt Passworte, die vermutlich nicht in den Passwortcache gehören (z.B. Banken) und man muss darauf achten, dass dieser ausreichende Sicherheitsmaßnahmen vorsieht (z.B. Ablegen der Passworte nur in verschlüsselter Form), aber bei den heutigen Anforderungen an sichere Passworte ist alles andere eher unmöglich.
mfg
Woodfighter
Gunnar Bittersmann
Matthias Apsel
JürgenB