Unpslash Photo
Photo by Luke Chesser on Unsplash.com

Sicherheit braucht eine entsprechende Syntax

Die Digitalisierung macht Datenschutz und IT-Sicherheit immer relevanter und stellt Unternehmen vor große Herausforderungen, um den Anforderungen gerecht zu werden. Dafür setzen viele Apps und Webseiten auf einen weiteren Faktor im Authentifizierungsprozess, auch unter “2FA” bekannt.

Bei diesem Verfahren wird neben den gewöhnlichen Angaben von Benutzername/Email und Passwort eine zusätzliche Identifikationsinformation abgefragt — in der Regel ein zufällig generierter Zahlencode. Die Kombination aus den etwa sechs Ziffern ist in der Regel 30 Sekunden gültig und wird auch häufig beim Online-Banking eingesetzt (TAN-Generatoren).


Allerdings Bedarf es für unterschiedliche Systeme eine individuelle Grammatik. Denn diese Codes können auf externen Geräten, auf dem Smartphone oder einer Smartwatch angezeigt werden. Im Falle bei Smartphones wird eine SMS mit der zufälligen Zahlenkombination an den Anwender gesendet. Anschließend wird durch die SMS-App eine Benachrichtigung erstellt, welche wiederum auf der Smartwatch repliziert werden kann. Diese Benachrichtigungen sind meistens in der Länge des Textes beschränkt, welche die Usability negativ beeinträchtigen kann.

Allerdings Bedarf es für unterschiedliche Systeme eine individuelle Grammatik. Denn diese Codes können auf externen Geräten, auf dem Smartphone oder einer Smartwatch angezeigt werden. Im Falle bei Smartphones wird eine SMS mit der zufälligen Zahlenkombination an den Anwender gesendet. Anschließend wird durch die SMS-App eine Benachrichtigung erstellt, welche wiederum auf der Smartwatch repliziert werden kann. Diese Benachrichtigungen sind meistens in der Länge des Textes beschränkt, welche die Usability negativ beeinträchtigen kann.

Wie auf dem Bild links deutlich zu erkennen ist, kann der Authentifizierungscode nicht ohne zusätzliche Interaktion vollständig erkannt werden, da die letzten beiden Ziffern abgeschnitten sind. Lediglich die ersten vier Zahlen sind zu erkennen. Um den vollständigen Code zu sehen, muss diese Benachrichtigung erst angeklickt werden, um den gesamten Inhalt der SMS/Benachrichtigung darzustellen. Das selbe kann auch auf dem Smartphone passieren, wenn der vorangehende Text länger ist oder die Benachrichtigung ebenfalls nicht vollständig angezeigt wird. Dieser unnötige extra Klick kann vermieden werden, indem die Satzstruktur so geändert wird, dass der 2FA-Code am Satzanfang steht.


Original: “Your LinkedIn verification code is 401184.”

Durch diese minimale Anpassung, kann der Endnutzer den Verifizierungscode ohne zusätzliche Interaktion erkennen und somit den Authentifizierungsprozess schneller abschließen. Diese kleine Änderung hat eine große positive Auswirkung auf die Benutzerfreundlichkeit, da weniger Zeit für die Identifizierung beansprucht wird.

Einige Anbieter haben dies bereits adaptiert und richten Ihre Texte bzgl. Sicherheit auf das wesentlich aus und stellen die Zahlenkombination an den Satzanfang, anstatt an das Satzende. Somit ist der Fall eliminiert, dass der Zahlencode unvollständig, bzw. gar nicht erst im Benachrichtigungsbereich dargestellt wird. Dennoch gibt es viele Dienste, die Ihre Nutzer zu einer weiteren Interaktion zwingen, um dem Authentifizierungsprozess auszuführen. Diese zusätzliche Interaktion wirkt sich demnach negativ auf die Usability aus und geht auf Kosten der Sicherheit über.

Sicherheit darf und sollte niemals zugunsten der Anwendungsfreundlichkeit vernachlässigt werden. Demnach gilt es Sicherheit und Usability in Einklang zu bringen, indem auf diese kleinen Details geachtet wird.

Unter folgender Liste, können Anbieter entnommen werden, welche überhaupt eine 2FA-Authentifizierung anbieten.

Autor Manuel Steinberg
Veröffentlichung
zuletzt aktualisiert