Warum es NICHT sicherer ist, den Passwort-Manager des Browsers zu blocken

Ein nerviger Trend, den man in letzter Zeit beobachten kann ist, das blocken des browser-eigenen Passwortmanagers. Sprich, man kommt auf eine Login-Seite aber Browser fragt nicht nach, ob er das Passwort speichern soll oder nicht. Angeblich will man die Seiten dadurch sicherer gestalten, letztlich erreicht man das Gegenteil.

Warum überhaupt?

Die Grundphilosophie der Webdesigner welche die Passwort-Speichern Funktion von Browsern (per autocompelte="off") ausschalten besteht darin, dass ein Passwort sicherer ist, wenn es nirgendwo gespeichert wird. Vom Prinzip her ist das erstmal korrekt. Wenn ich mir mein Passwort merke, ist das erstmal sicherer als wenn ich mir das Passwort irgendwo aufschreibe. Und auch der Passwortmanager von Browsern (insbesondere Firefox) ist nicht immer sicher (Firefox speichert die Passwörter zum Beispiel nur dann verschlüsselt, wenn ein Masterpasswort vergeben wurde).

Das Problem liegt aber darin, dass es GUTE Passwörter und SCHLECHTE Passwörter gibt. Gute Passwörter haben wiederum allerdings die wirklich hässliche Eigenschaft, dass man sie sich nicht merken kann.

Das wäre ein gutes Beispiel für ein sicheres Passwort:
Benutzer: Administrator
Passwort: P@BN-)\ZTTA%{A&_

Ein schlechtes Passwort:
Benutzer: Administrator
Passwort: Administrator

Menschen sind so geschaffen, dass sie sich für nervige Probleme einen Workaround suchen. Wenn also der Browser die Passwörter nicht speichert, überlegt man sich eine Alternative: Unsichere Passwörter! Wenn einem der Browser das schon nicht abnimmt, man das Passwort aber oft braucht, muss man zwangsweise auf Passwörter zurückgreifen, die man sich leicht merken kann, oder (genauso schlimm) überall das gleiche Passwort verwenden.
Katastrophal wird es dann wenn man sich auf dem Desktop eine Text-Datei mit Passwörtern anlegt.

Ein gutes Beispiel für dieses Problem ist die Server-Verwaltungs-Software Parallels Plesk. Hier hat man den Passwort-Manager ausgehebelt.
Ich selber habe mehrere Server für unsere Kunden auf denen ich mich, an Tagen wo viel los ist etwa dreitausendfünfhundertachtundsechzig mal einloggen muss. Und es gibt nichts, was mich mehr Nerven gekostet hat.

Also liebe Webentwickler...

Bitte bevormundet die Benutzer nicht darin, wie sie ihre Passwörter speichern und lasst bitte gefälligst den autocomplete-Parameter der Passwortfelder EINgeschaltet. Bzw. deaktiviert in nur wenn es WIRKLICH notwendig ist (spontan fällt mir da eigentlich nur Online-Banking ein).
Ein Passwort, welches im Passwort-Manager des Browsers verschlüsselt gespeichert wird, ist allemal sicherer als ein einfaches Passwort das sich mit einer Wörterbuch-Attacke schnell herausfinden lässt.

Workaround für Benutzer

Wie schon erwähnt erkennen die Browser das deaktivieren des Passwortmamangers daran, dass in dem jeweiligen Formularfeld für Passwort und Benutzername der Parameter autocomplete="off" gesetzt ist.
Erfreulicherweise ist es zumindest bei Firefox so, dass wenn er sich ein Passwort einmal gemerkt hat, dieses auch dann in das Formular einträgt, wenn autocomplete deaktiviert ist. Also nehme man sich ein Plugin für Webdesigner, mit dem man den Quelltext der Seite in echtzeit edititieren kann, wie zum Beispiel Firebug und entferne den automcomplete-Parameter, oder ändere ihn in autocomplete="on". Dann loggt man sich ein, speichert das Passwort im PM und beim nächsten Mal funktioniert's

Achja, hier der Link zu Firebug:
https://addons.mozilla.org/de/firefox/addon/firebug/