So gehen Passwörter in Apps

Passwort.png

Jeder unter 40 hat es bereits am eigenen Leib erfahren: Die Eltern haben sich aus einer App ausgesperrt. Schnell ist klar, wessen Aufgabe es nun ist, den Tag zu retten. Nervig! Dazu gesellt sich der oftmals leichtfertige und naive Umgang mit Passwörtern auf Nutzerseite. Gefährlich!

Sprechen wir also darüber, was Publisher besser machen können, um das Festlegen von individuellen und sicheren Passwörtern zu motivieren, ohne dabei die Nutzung zu verkomplizieren.

Passwörter vergeben

In vielen Apps ist es erforderlich, ein Passwort zu definieren. Leicht zu erratende Begriffe wie Mamaistdiebeste oder Passwort123 sollen dabei zum Wohle des Nutzers verhindert werden.

Es ist inzwischen best practice, gewisse Kriterien vorzugeben. Beispielsweise muss ein Großbuchstabe, ein Kleinbuchstabe, eine Zahl und ein Sonderzeichen enthalten sein. Außerdem muss das Passwort mindestens acht Zeichen lang sein.

Das ist sehr viel besser, als die Verantwortung komplett auf den Nutzer abzuschieben, der aus Bequemlichkeit im Zweifelsfall stets zu 12345678 tendiert. Allerdings bringen sichere Passwörter auch eine gewisse Komplexität mit sich.

Die Schwierigkeit liegt darin, dem Nutzer während der Vergabe klar zu kommunizieren, worauf er zu achten hat. Wenig ist frustrierender, als sich mühevoll ein Passwort auszudenken, dieses zweifach einzugeben und anschließend auf Weiter zu tippen, nur um dann zu erfahren, dass irgendwas nicht passt. Zu spät!

Natürlich könnte man die Kriterien einfach als Text auf den Screen packen. Schicker ist es allerdings, wenn die Kriterien visualisiert sind und schon während der Eingabe signalisieren, ob sie bereits erfüllt sind oder nicht.

So auch bei der erneuten Eingabe des Passworts, um Vertipper auszuschließen. Da die einzelnen Ziffern und Zahlen während der Eingaben natürlich maskiert sind, ist ungewiss, ob man sich vertippt hat oder nicht. Sicherheit gibt ein kleines ausgegrautes Häkchen, das grün wird, sobald die beiden Eingaben übereinstimmen.

Auch sehr fein: Erst wenn alle Voraussetzungen erfüllt sind, aktiviert man die Möglichkeit den Screen zu bestätigen. Andernfalls ist Frust vorprogrammiert.

All diese genannten Punkte helfen enorm bei der manuellen Definition eines neues Passworts.

Richtig angenehm wird es, wenn man zusätzlich die Möglichkeit anbietet, neue Passwörter über Drittanbieter Apps anzulegen. Die bekannteste Anwendung dafür ist 1Password. Der Vorteil dabei ist, dass man sich nicht mehr selbst den Kopf zerbrechen und ein kryptisches Passwort ausdenken muss. Noch dazu wird das neue Passwort direkt gespeichert. Praktisch für den Fall, dass man es in der Zukunft mal nachschlagen muss. Win-Win!

Passwörter eingeben

Die erste Hürde ist genommen und es wurde ein sicheres und einzigartiges Passwort definiert. Das einzige Problem daran: Kann sich kein Mensch merken.

Irgendwann muss dieses Passwort aber nochmal eingegeben werden. Beispielsweise wenn man die App auf einem anderen Gerät installiert, sein Smartphone frisch aufsetzt oder man ausgelogged wurde.

Daher ist es super wichtig, die Eingabe von Passwörtern so einfach wie nur irgendwie möglich zu gestalten. Dazu gehört auch, dass man von seinen Nutzern nicht erwarten kann, dass sie alle Passwörter im Kopf behalten. Es gibt zwei elegante Lösungen: Die Schlüsselbund-Anbindung und Schnittstellen zu Drittanbieter Apps, wie das zuvor zitierte 1Password.

Am Rande sei erwähnt, dass es natürlich immer ratsam ist, die Authentifizierung über den Gesichts-Scan oder Fingerabdruck zu ermöglichen, sobald die initiale Anmeldung erfolgreich war.

iOS / Mac Schlüsselbund-Anbindung

Das tolle am Schlüsselbund ist, dass er für gewöhnlich schon prall gefüllt ist mit gespeicherten Passwörtern. Der Grund ist, dass man schon seit Jahren die im Web eingegebenen Passwörtern sicher in der Keychain speichern kann.

Seit iOS 11 können auch Apps auf den Schlüsselbund zugreifen.

Für Publisher ist das Ganze mit minimalem Aufwand verbunden. Auf der Webseite und in der App muss lediglich ein kleiner Code-Schnipsel hinterlegt werden. Der stellt sicher, dass es sich um die selbe Anwendung handelt.

Für den Nutzer könnte es dann kaum einfacher sein. Hat man sich beispielsweise bei Netflix irgendwann mal im Browser angemeldet und sein Passwort gespeichert, gibt es bei der Anmeldung in der App kaum noch etwas zu tun. In das Login Feld tippen, das angebotene Passwort selektieren, fertig. It just works.

Schnittstellen zu Drittanbieter App

Fast genau so schick wie mit dem Schlüsselbund, kann es mit einer Integration von Drittanbieter Apps wie 1Password funktionieren. Denn dabei fungiert diese Drittanbieter App im Grunde wie ein externer Schlüsselbund und verhält sich mehr oder weniger identisch.

Am Beispiel von 1Password funktioniert das so: 1Password bietet eine Schnittstelle an, mit der man die App starten und dabei eine Info übermitteln kann, aus welcher Anwendung man kommt. 1Password gleicht dann diese Info mit den gespeicherten Logins ab und liefert das Passwort zurück, sofern es fündig wird.

In der eigenen App muss man dann nur noch einen 1Password Button integrieren, über den sich alle Nutzer dieser App riesig freuen werden. Happy end.

Mit iOS 12 wird das Ganze sogar noch schicker für Drittanbieter, da im gleichen Duktus wie mit dem systemseitigen Schlüsselbund Passwörter angeboten werden können. In diesem Video von 1Password kann man sich ansehen, wie schick und einfach das aus Nutzersicht funktioniert.

In den unsterblichen Worten von Danger Ehren: Safety first!


Zu diesem Artikel gibt es auch eine Podcastfolge.