Es ist eine Unsitte, die nicht nur bei United Domains anzutreffen ist, die mich aber unendlich nervt: Versteckte Passwort-Anforderungen und ein Maximum bei der Länge. Wozu? Hochrangige Institutionen empfehlen seit Jahren möglichst lange (und nicht unbedingt komplexe) Passwörter. Also warum dieser Anachronismus!?

Konkret geht es um die Eingabe eines Passwortes für den Datenbank-Benutzer. Die Benutzerführung ist hier generell nicht wirklich ideal, aber darum soll es jetzt nicht gehen. Wir haben hier ein ganz normales Passwortfeld (mit Passwort-wiederholen-Feld als Kontrolle) und einem kleinen (i)-Icon für Zusatzinfos:

Um sichere Passwörter zu erstellen, nutze ich die Funktion meines Passwort-Managers, wo ich Länge und Inhalt konfigurieren kann. So auch hier. Nach Eingabe des Passwortes gibt es jedoch ein Problem:

Okay. Warum auch eine nützliche, informative Fehlermeldung ausgeben, wenn es auch kryptisch geht. Bloß nicht zu viel verraten. Interessiert mich auch bestimmt nicht WARUM mein Passwort nicht gespeichert wurde. Ich werde es ja nicht ändern wollen, um euch zu gefallen, sondern mein törichtes Unterfangen aufgeben wollen …

Nun gut, wird vermutlich ein unerlaubtes Sonderzeichen sein. Der Infotext wird es mir bestimmt verraten, oder? Nein.:

Hier bin ich schon mittelprächtig aus allen Wolken gefallen. Umlaute haben ihre Tücken. Okay. Aber warum denn nicht mehr als 30 Zeichen? Die werden doch sowieso gehasht, da müsste die Länge doch egal sein. Und welche Sonderzeichen sind erlaubt. Alle?

Also ein nächster Versuch. Umlaute nutzt mein Passwort-Manager sowieso nicht, also wird es vielleicht ein unerlaubtes Sonderzeichen sein.

Ohne Sonderzeichen ist die Stärke nur noch „stark“ und nicht mehr „sehr stark“, aber ein Fehler wird an dieser Stelle nicht angezeigt. Dafür muss ich erst mal versuchen zu speichern …

Tja, mein Passwort-Manager war auf über 30 Zeichen eingestellt. Also nochmal Länge auf 30 herunterstellen und nochmal versuchen. Endlich geklappt.

Eine genaue Erklärung, welche Sonderzeichen erlaubt sind, gibt es übrigens nur bei vorheriger fehlerhafter Eingabe:

Insbesondere die Längenbegrenzung ärgert mich dabei immens, denn es gibt keinen guten Grund dafür. Das Nationale Institut für Standards und Technologie (NIST), eine Bundesbehörde aus den USA, empfiehlt explizit Länge vor Komplexität für den Schutz von Passwörtern und diese möglichst unbegrenzt. Für wirklich sichere Passwörter sind 64 Zeichen Optimum. Mein Passwort-Manager kann bis zu 99 Zeichen für ein generiertes Passwort einstellen.

Da Umlaute problematisch sein können (siehe meinen Artikel zum NFC/NFD-Problem) kann ich diesen Ausschluss verstehen, aber die erlaubten (oder nicht erlaubten) Sonderzeichen sollten wenigstens vorher anständig ausgegeben werden. Bitte nicht hinter einer Hover-Info verstecken, aus der nichts kopiert werden kann und die erst auftaucht, wenn du in eine Fehlermeldung gerasselt bist.

Und ganz wichtig: Wenn es eine Fehlermeldung gibt, dann bitte mehr Infos. Warum ist etwas schief gelaufen? Wenn da stünde: „Ihr Passwort ist zu kurz/lang!“ oder „Das Passwort enthält folgende ungültige Zeichen: xxx“, dann wüsste ich genau, was passiert ist und wie ich es fixen kann. So muss ich leider raten und bin frustriert.

Wenn euer Hoster das auch so verbockt, dann meldet euch doch mal bei deren Support und fragt mal nach.

Berichtet gerne in den Kommentaren vom Ergebnis. Würde mich freuen, wenn wir die Hoster hier dazu bewegen könnten, sich zu verbessern!

---

Dieser Artikel ist Teil der Serie: Hosting-Adventskalender
Alle Artikel findest du über das Schlagwort Adventskalender