Houd eens op met die bolletjes in wachtwoordvelden

Dat heb ik me ook al jaren afgevraagd: waarom worden wachtwoorden op websites altijd als bolletjes of sterretjes getoond? Jakob Nielsen heeft er nu onderzoek naar gedaan, en wat blijkt:

Usability suffers when users type in passwords and the only feedback they get is a row of bullets. Typically, masking passwords doesn’t even increase security, but it does cost you business due to login failures.

Het idee achter die sterretjes is dat iemand die op je scherm meekijkt, niet kan meelezen wat je wachtwoord is. Maar hoe vaak komt dat tegenwoordig nog voor? De meeste wachtwoorden worden vandaag de dag gestolen met Trojans en phishingsites, en die kijken gewoon naar wat je intypt en niet naar wat er op het scherm komt te staan. Dus aan de veiligheid draagt het niets bij.

Nielsen doelt met die “login failures” op mensen die niet kunnen zien wat ze intypen en dus vaker fouten maken met hun wachtwoord. Ik vraag me af of dat nog steeds een probleem is. Wie gebruikt er geen password-manager voor websitewachtwoorden?

Overigens: degenen die mijn blog er ouderwets uit vinden zien, kunnen maar beter niet Nielsen’s site bekijken.

Arnoud

47 reacties

  1. Aangezien ik niet weet in welke omgeving mijn klanten de website willen gebruiken, wil ik het ze niet aandoen om de bolletjes niet te bieden. Het is al lastig genoeg om meekijken op het toetsenbord te voorkomen als je niet tegelijk ook nog het scherm moet afschermen.

  2. Dit ligt toch echt aan de gebruiker en niet aan het systeem. Het is nogal utopisch te denken dat het wel tonen van de ingevoerde waardes in een wachtwoord veld alle spelfouten voorkomt. Misschien merk je het eerder op, maar ook dat kost weer tijd. Zo kan je dus bezig blijven, want als je met een spelfout het veld weer leegmaakt en opnieuw begint kost het je ook business. Vind het een beetje te makkelijk gesteld van de heer Nielsen.

  3. Maar die sterretjes krijgen ze bij iedereen, dus ik zie niet helemaal in hoe dit je loss of business gaat geven. Ik ga toch niet denk “oh, ik kan niet zien wat ik intyp, laat ik het dan maar bij een concurrent alsnog niet gaan weten”.

    Bij signup-forms staan altijd twee doosjes voor wachtwoord en bevestiging, en krijg je een duidelijke error als je dat fout doet (en anders is je webapp gewoon stom, en verlies je klanten niet om de sterretjes, maar om je eigen fouten).

    Bij het inloggen heb je bovendien toch je klant al binnengehaald?

  4. Misschien is een systeem zoals bij mobieltjes nogal vaak wordt gebruikt (want, 3/4 letters onder dezelfde knop) is dat een karakter een fractie wordt getoond en dan veranderd in een bolletje.

  5. Nielsen heeft (dat is me vaker opgevallen) last van een gebrek aan creativiteit. Ik ben onmiddellijk met hem eens dat de user-interface voor wachtwoord-invoer op veel plekken verbeterd kan worden.

    Simpelweg het wachtwoord tonen is in veel gevallen inderdaad niet onveilig. Maar er zijn zeker situaties waar dat wel zo is, en het elimineren van de mogelijkheid tot ’t verbergen van wachtwoorden veroorzaakt daar dan een usability-probleem. (hand over het scherm, zoals bij pinnen – en dan met ??n hand je wachtwoord intypen? 🙂

    Voor gebruikers van wachtwoord-managers is het tonen van het wachtwoord zelfs vaak helemaal niet nodig – 1Password op mijn Macs vult met 1 klik het wachtwoord in. De meeste van die wachtwoorden heb ik niet zelf bedacht, en ik zou ze niet handmatig kunnen reproduceren.

    Op sommige plekken (bijvoorbeeld het WiFi-instellingenpaneel van Mac OS X), zie je een ‘show password’ checkbox. Dat lijkt me een goede UI-verbetering. Je kan dan nog discussieren over wat de standaard-waarde moet zijn, natuurlijk. In ieder geval neemt het de mogelijkheid niet weg om je wachtwoord wel te verbergen, en het behoudt het signaal dat een wachtwoord iets is waar je zorgvuldig mee om wil gaan. Browsers zouden zo’n feature onderdeel kunnen maken van de wachtwoord-invoer-widget.

  6. Ja en nee. Het maakt het zeker makkelijker. Maar ik moet er niet aan denken dat ik elke keer dat ik een user als root/administrator moet helpen, ik steeds moet vragen of hij/zij even de andere kant op wil kijken.

    Wat ik persoonlijk dan leuk zou vinden, is zoals in de wifi assistent van vista: daar zit gewoon een knop waarmee domme gebruikers de bolletjes in letters kunnen omzetten, maar dat er standaard niet meegelezen kan worden.

    (Dit voorstel zie ik nu trouwens ook in het artikel van Nielsen)

  7. Tenzij je de “Remember password for this site” functie van Firefox ook beschouwd als password manager gebruik ik geen password manager. Voor de onbelangrijke sites gebruik ik de remember wachtwoord functies, voor de belangrijke sites onthoud ik ze gewoon.

    Maar ik geloof inderdaad niet dat het wel of niet tonen van bolletjes zoveel uitmaakt. Daarnaast zijn de bolletjes wel degelijk nuttig in bedrijfs applicaties. Mijn buurman kan wel op m’n scherm kijken maar hoeft niet zo nodig mijn wachtwoorden tot allerlei bedrijfs applicaties te kunnen meelezen.

    Qua foutmeldingen tonen is het ook lastig. Omdat er natuurlijk veel geautomatiseerde aanvallen bestaan kan het tonen van “Uw wachtwoord is fout” al leiden tot aanvallen op 1 specifiek account omdat men dan weet dat in ieder geval het account juist is. De scheidingslijn tussen usability en security is vaak ook flinterdun.

  8. Juist omdat browsers wachtwoorden kunnen onthouden en meteen invullen, vind ik die bolletjes wel een fijne (doch beperkte) beveiliging.

    Vaak kun je via bijvoorbeeld de voorkeuren van de browser de lijst met opgeslagen wachtwoorden zonder veel moeite zichtbaar maken. Maar inderdaad, mensen die naast je zitten zien niet meteen je wachtwoord staan. Er zijn trouwens genoeg sites waar ik niet altijd inlog, maar waar de invoer voor gebruikersnaam en wachtwoord w?l op iedere pagina getoond worden. Ik zou niet graag zien dat dan op iedere pagina mijn automatisch ingevulde wachtwoord getoond wordt. Feitelijk geeft het aantal getoonde bolletjes al teveel informatie weg.

    Tot slot: webbouwers MOETEN die bolletjes gebruiken (iets specifieker: type=”password”) om te voorkomen dat bijvoorbeeld een dubbelklik op een normaal veld (type=”text”) een lijst met de laatste invoer laat zien.

  9. De meeste wachtwoorden worden vandaag de dag gestolen met Trojans en phishingsites, en die kijken gewoon naar wat je intypt en niet naar wat er op het scherm komt te staan. Dus aan de veiligheid draagt het niets bij.

    Als ik soms op een ‘publieke computer’ op mijn mail account inlog, typ ik mijn wachtwoord in willekeurige volgorde (bijvoorbeeld eerst de laatste twee karakters, dan de muis vooraan zetten en de volgende twee typen etc.). De meeste wachtwoord-stelers zullen dat niet door hebben. Maar een screenshot kunnen ze nog steeds maken, als er geen bolletjes zouden zijn.

    Dat er bij je creditcard-gegevens zelden tot nooit bolletjes krijgt is trouwens erg raar.

  10. Gister had ik iemand een Unix shell account gegeven, en uitgelegd hoe ze (meisje!:-) ) moest inloggen met Putty. “Ik kan geen wachtwoord intypen”, zei ze:-D

    Voor mij was de eerste keer inloggen op Unix ook wel vreemd. Wachtwoorden worden gewoon nooit ‘ge-echo-ed’. Ook geen sterretjes ofzo, gewoon niets.

    Maargoed, ik vind dit een beetje gezeur. Als het te moeilijk is om een wachtwoord in te typen, dan gebruik je toch je fingerprint?

    but it does cost you business due to login failures.

    Ben toch benieuwd hoeveel dat nu eigenlijk kost.

    Owja, hoe eenvoudiger de website. Hoe beter. Ode aan mutt.org

  11. Het is niet meer dan een terugkoppeling over het aantal toetsaanslagen. Zelf heb ik nooit last van meekijkers gehad, niet op het werk, niet thuis en ook niet bij de bankautomaten die hetzelfde systeem gebruiken. Wat dat betreft is het wel redelijk gestandaardiseerd en daarmee vertrouwd.

    Het maakt mij niet echt uit of dit zo blijft, of dat het verandert. En ja tikfouten blijf ik maken. Laatst tot 2x toe een fout mailadres ingevuld in zo’n vervelend mailformulier van HP. Pas veel later bedacht ik dat ik geen hotmail.nl- maar een live.nl-adres heb. Dus dat lastige mailformulier met al die verplichte onzinvakjes maar weer opnieuw ingevuld.

  12. Maar als je op slechts 1 computer inlogt kan het wel. Dan is er geen centrale database nodig.

    Mijn punt is: die landelijke database die is er straks, en uiterlijk september 2014 zitten we daar allemaal in. En dan wordt niet een soort van controlegetal opgeslagen zodat bij een gevonden vingerafdruk een aantal namen uit die database geselecteerd wordt, maar de vingerafdruk z?lf wordt opgeslagen. Als die database ooit gekraakt wordt (en dat wordt-ie volgens mij) dan kan die vingerafdruk dus afgedrukt worden. Nog even natmaken en die afdruk is klaar voor gebruik…

  13. Het idee achter die sterretjes is dat iemand die op je scherm meekijkt, niet kan meelezen wat je wachtwoord is. Maar hoe vaak komt dat tegenwoordig nog voor?

    Ik zit regelmatig met een collega te overleggen voor een beeldscherm en dan moet er ook wel eens een wachtwoord worden ingetypt. Ik zou het vervelend vinden als dat wachtwoord op het scherm verschijnt. Of thuis, dat iemand even mail wil checken, naar Gmail gaat en dan mijn wachtwoord ziet staan. Lijkt me niet handig.

  14. Ik denk hierover hetzelfde als Rutger (#16): op mijn werk is het heel normaal dat ik iets samen met een collega doe waarbij wachtwoorden ingevoerd moeten worden. Nu moet ik zeggen dat dat niet al te vaak op websites is.

    Maar, ik zou het daar erg vervelend vinden als mijn wachtwoord gewoon te zien zou zijn. Dus de bescherming tegen meelezen gaat niet alleen om kwaadwillenden, maar ook om gewoon gebruik tijdens samenwerking.

    Denk ook bijvoorbeeld aan een demonstratie op een beamer waarbij een wachtwoord ingevoerd wordt. Als dat op een live-systeem is, zou ik daarna onmiddelijk mijn wachtwoord moeten veranderen. Lijkt me onpraktisch.

    En qua “costs you business”: hoeveel winkelaankopen worden er afgebroken omdat de koper bij het intikken van de pincode de cijfers niet zag op het display?

    Als laatste kan een verwijzing naar http://bash.org/?244321 niet ontbreken bij deze post.

  15. Ik vind bolletjes ook niks, en zie liever helemaal geen feedback waaraan de lengte van het wachtwoord te zien is; het aantal tekens kan al behoorlijk waardevolle informatie zijn voor degene die het wachtwoord graag zou achterhalen.

    Bijna dagelijks zit ik even achter andermans computer, of kijk ik mee met wat iemand doet (soms ook op afstand). Ik help veel mensen met computerproblemen. Het zou wat mij betreft echt hartstikke fout zijn als wachtwoorden gewoon in beeld kwamen.

  16. Ik ben het niet met je eens Arnoud, om redenen die hierboven al aangegeven zijn. Het is vanwege veiligheidsoverwegingen geen goed idee om de bolletjes (standaard) af te schaffen.

    Trojans bestaan omdat het mogelijk is om op die manier aan wachtwoorden te komen. Als dat niet mogelijk was zou het ook heel weinig voorkomen.

  17. Volgens mij zijn de bolletjes ouder dan Van Eck phreaking, ik heb in ieder geval nog nooit gelezen dat dat de reden zou zijn. Shoulder-surfing is de meest genoemde reden. En daarvan denk ik: je kunt net zo goed op iemands toetsenbord meelezen.

    Een belangrijk argument dat bij Schneier voorbij kwam, is dat het een vals gevoel van veiligheid geeft. Je denkt dat niemand je wachtwoord kan lezen maar dat kan nog steeds. Dan liever even om je heen kijken en een rustig plekje opzoeken.

  18. Wat ik de beste manier vind is onder het wachtwoord veld een vinkje maken ‘Wachtwoord tonen’. De Ubuntu NetworkManager heeft dat, en dat werkt wel prettig. Zeker met lange wifi keys. Standaard moet wat mij betreft dat vinkje uit staan.

    Overigens, meelezen van scherm is vele malen makkelijker dan meelezen van een toetsenbord. Het lukt jou niet om mijn wachtwoord mee te lezen als ik die typ op het toetsenbord. Mijn sterkste wachtwoord is het enige geheim dat ik heb voor mijn vrouw, en voor de grap typ ik wel eens mijn wachtwoord terwijl ze er met haar neus erbovenop zit. Ook een aantal keer achter elkaar.

  19. Het gevoel van veiligheid is niet helemaal vals. Het voegt wel degelijk veiligheid toe. Alleen wordt dat verkeerd ingeschat, waardoor het een groter gevoel van veiligheid geeft dan technisch gerechtvaardigd is.

    Echter, met een beveiligingsmaatregel stoppen omdat mensen denken dat ’t meer doet dan ’t daadwerkelijk doet, lijkt me onzinnig zolang wat het wel doet op zich de moeite waard is. Wachtwoorden verbergen voor wie van het scherm kan meelezen vind ik zeer de moeite waard.

  20. Ik schreef hierboven:

    webbouwers MOETEN die bolletjes gebruiken (iets specifieker: type=???password???) om te voorkomen dat bijvoorbeeld een dubbelklik op een normaal veld (type=???text???) een lijst met de laatste invoer laat zien.
    Ofwel: type=”password” moet blijven bestaan, met of zonder bolletjes. Maar als er geen bolletjes getoond zouden worden, dan zou de gebruiker op een andere manier moeten kunnen zien dat het om een wachtwoord-veld gaat, zodat de gebruiker weet dat het ingetikte wachtwoord niet in de historie bewaard wordt. Eventuele veranderingen kunnen dus het gemakkelijkst in de browsers worden gemaakt, niet in de websites.

    (Apple’s Safari toont bijvoorbeeld een vergrootglas met een dropdown voor historie, en een annuleerknopje zodra je iets hebt ingetikt, bij zoekvelden.)

  21. @Juerd: mee eens dat het een werkelijk probleem oplost, maar ik denk dat dat probleem zo klein is dat de maatregel het niet waard is. Password sniffers, phishing en andere trucs komen veel vaker voor en daar werkt dit niet tegen. Dan zeg ik, afschaffen, omdat het ook nog eens bijzonder onhandig is.

  22. Ik denk niet dat websitebouwers zouden moeten overgaan op het gebruik van simpele tekstveldjes voor wachtwoordinvoer. Dat breekt allerlei functionaliteit van de browser. Maar een optie in de browser om dat maskeren uit te schakelen lijkt me prima.

  23. @Hans, helaas heb je geen gelijk. Een wachtwoord kan behalve data versleutelen ook toegang geven om bepaalde handelingen te doen. Hoewel ze alles mag weten wil ik haar nog niet de mogelijkheid geven per ongeluk mijn harddisk te formateren of mijn aandelen te verkopen.

  24. Maar als jij zoiets niet wilt dan doet ze dat toch ook niet? Als er geen geheimen zijn en alles bespreekbaar is (of kan zijn), dan lijkt me autorisatie niet veel meer toevoegen. Gegeven dat je een relatie hebt en geen oorlog… 😉

    Ik hou het zelf toch maar op “weinig geheimen”. Dat vind ik duidelijker en daar voel ik me dan weer beter bij.

  25. Vandaag las ik bij Schneier on Security dat hij zijn steun voor dit standpunt intrekt. Bolletjes doen over het algemeen minder kwaad dan goed:

    So was I wrong? Maybe. Okay, probably. Password masking definitely improves security; many readers pointed out that they regularly use their computer in crowded environments, and rely on password masking to protect their passwords. On the other hand, password masking reduces accuracy and makes it less likely that users will choose secure and hard-to-remember passwords, I will concede that the password masking trade-off is more beneficial than I thought in my snap reaction, but also that the answer is not nearly as obvious as we have historically assumed.

  26. Ik ben het helemaal eens dat de bolletjes nodig zijn voor de veiligheid. Ik zou een goede wachtwoordmanager gebruiken. Ik gebruik zelf sinds kort dit: http://www.lastpass.nl

    Een online wachtwoordmanager en formuliervuller.

    Al je wachtwoorden worden online opgeslagen en je kunt zo van iedere computer met ??n klik inloggen op al je accounts. Ook kun je snel online formulieren invullen.

    Het is helemaal gratis en 100% veilig (het werkt met SSL encryptie en er worden geen ongecodeerde gegevens opgeslagen). Het is ook helemaal in het Nederlands beschikbaar.

  27. Dat klinkt niet alleen als reclame, het klinkt ook nog eens heel erg eng. Ik zou nog liever al m’n wachtwoorden op post-its op m’n bureau plakken dan ze voeren aan een ondoorzichtig programma dat beweert 100% veilig te zijn maar de broncode (waarmee die claim geverifieerd kan worden) blijkbaar niet durft prijs te geven.

  28. Inderdaad

    Een site die bovendien geen track record heeft: Date registered: 31-03-2009

    Omdat het op z’n best 3 maanden pas draait.

    Bovendien om een wachtwoord te kunnen invoeren op een andere site moet het mijn inziens per definitie in een decryptable formaat worden opgeslagen. Nou ben ik daar verder niet zo van op de hoogte dus kan zijn dat ik wat mis maar volgens mij is dat per definitie een potentieel security risico.

    SSL is ook geen garantie op veiligheid. De achterliggende code moet ook nog eens veilig (zonder fouten) zijn.

    Dus nee ik denk dat ik dit geval met Juerd mee ga: eng (en dat is nog mild).

  29. Ik ben een gelukkige gebruiker van de linux versie van KeePass. http://keepass.info/ Die heeft oa als feature een toetsencombinatie waarmee KeePass automatisch het wachtwoord kiest van dat hoort bij de plek waar je op dat moment staat. Ik meen dat ie dat doet op basis van de title van het actieve venster. Vult automatisch de username en password in, en gaan. 1 keer keepass starten en daarna geen wachtwoorden meer intypen!

    Hij slaat de wachtwoorden encrypted op. Linux, OSX en windows versies (en waarschijnlijk ook de vele andere versies) lezen allemaal hetzelfde formaat. Je kunt dus 1 file delen met meerdere gebruikers via een netwerk.

  30. Ik begrijp dat veel mensen bezorgd zijn over privacy en veiligheid. Terecht lijkt me. De ontwikkelaar van een systeem is altijd een potentieel security lek, ook als je systemen als KeePass gebruikt (niets ten nadele daarvan). Dit geldt zeker voor de automatische wachtwoordherinnering in IE en FF die veel mensen gebruiken. Iedere hacker kan deze zo van je computer plukken! Volgens mij is wachtwoordmanager software een veiliger alternatief.

    Overigens is LastPass in de VS al wat langer actief (sinds oktober 2008). De FAQ geeft meer duidelijkheid over veiligheid http://www.lastpass.com/faq. Ze laten hun site ook checken en certificeren door Firefox (ze zijn een officiele add-on) en Websafe Shield.

    Ik ben verder ook geen expert, maar ik heb nog geen klachten.

  31. webbouwers MOETEN die bolletjes gebruiken (iets specifieker: type=???password???) om te voorkomen dat bijvoorbeeld een dubbelklik op een normaal veld (type=???text???) een lijst met de laatste invoer laat zien.

    Eh, daar is toch gewoon een optie voor? Om het auto-aanvullen uit te schakelen voor een normaal veld?

  32. @Sven, je bedoelt het autocomplete attribute? Dat is helaas pas een standaard vanaf HTML 5.

    (Het blijft volgens mij toch het beste om eventuele wijzigingen in de browser door te voeren, niet in de HTML broncode. Niet dat ik voor zo’n wijziging ben.)

  33. Nergens zie ik een voorbeeld van een persoon die altijd in zijn eentje op zijn ( thuiskantoortje) werkt, al 72 jaar is en niet zo goed kan onthouden wat het wachtwoord ook weer was. En met typen ook niet meer zo standvastig is. IK dus: voor mij zou het een uitkomst zijn die bolletjes altijd veranderd te zien in letters en cijfers. Wie heeft daar ook deze ervaring mee??? Maak een eenvoudig APje in het NL die dat regelt.

    P.Versteeg

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.