Einige wenige Dozenten haben uns zum Beginn des Semesters gemeldet, dass in ihren Moodle Kursen ihr kiz Account Passwort als Einschreibeschlüssel verwendet wird. Wir möchten dieses Verhalten an dieser Stelle gerne aufklären und Ihnen insbesondere die Handlungsempfehlung ans Herz legen, Ihr kiz Account Passwort nicht in einem Passwortmanager im Browser zu speichern.

Zunächst zur Definition

• Der Einschreibeschlüssel ist das Schlüsselwort, welches Sie in Ihrem Kurs unter Kurs-Administration -> Nutzer/innen -> Einschreibemethoden -> Selbsteinschreibung -> Einschreibeschlüssel konfigurieren können und welches von Ihren Studenten abgefragt wird, wenn sie sich in den Kurs einschreiben wollen.
• Das kiz Account Passwort ist das Passwort, welches Sie zusammen mit Ihrem kiz Account Benutzernamen verwenden, um sich in Moodle und unseren anderen zentralen Diensten einzuloggen.

Ausgangssituation

Wenn wir im kiz Ihnen einen Moodle Kurs anlegen, ist der Einschreibeschlüssel standardmäßig nicht belegt, das heißt Ihre Studenten können sich ohne jegliche Hürde in den Kurs einschreiben. Viele Dozenten bevorzugen es aber, einen Einschreibeschlüssel auf der oben angegebenen Seite zu setzen oder schauen zumindest einmal über die Einstellungen der Selbsteinschreibung drüber, um beispielsweise noch ein Einschreibeende zu setzen.

Gleichzeitig müssen wir feststellen, dass viele Dozenten ihr kiz Account Passwort im Passwortmanager ihres Browsers speichern. Auch wenn wir diese Praxis grundsätzlich nicht empfehlen können, da es sich um ein sehr wertvolles Passwort handelt und gerade der Sinn des kiz Accounts ja ist, dass Sie sich nur noch ein Passwort für möglichst alle Dienste der Universität Ulm merken müssen anstatt verschiedene Passwörter für verschiedene Dienste, so entspricht dies leider oft genug der Praxis.

Das Problem

Hier ergibt sich nun das technische Problem:
Da es sich bei dem Konfigurationsfeld für den Einschreibeschlüssel auf der oben genannten Einstellungsseite um ein Passwortfeld handelt und es sich auf einer .uni-ulm.de Website befindet, füllen viele Browser dieses Feld in vorauseilendem Gehorsam mit dem im Passwortmanager hinterlegten kiz Account Passwort aus. Dies kann sowohl beim ersten Besuch und Speichern der Einstellungsseite passieren, so dass ein Einschreibeschlüssel gesetzt wird ohne dass Sie es wollen, als auch bei einem wiederholten Besuch und Speichern der Einstellungsseite, so dass ein bereits vorhandener Einschreibeschlüssel gegebenenfalls mit Ihrem kiz Account Passwort überschrieben wird.

Bis hierher wäre die Konsequenz nur, dass Studenten sich in Ihren Kurs nicht einschreiben können, da sie den Einschreibeschlüssel (=Ihr kiz Account Passwort) nicht vorweisen können.
Unglücklicherweise stellen manche Dozenten den Einschreibeschlüssel Ihren Studenten in der ersten Vorlesung zur Verfügung, indem sie in Moodle die oben genannte Einstellungsseite auf dem Beamer anzeigen und mit der "Klartext" Funktion den Einschreibeschlüssel den Studenten zum Abschreiben vorstellen. Auf diesem Weg wird das kiz Account Passwort dann an hunderte Studenten veröffentlicht, was ungeahnte Folgen haben kann.

Die Moodle Entwickler haben in der Vergangenheit einiges getan, um das automatische Ausfüllen des Einschreibeschlüssels durch Passwortmanager in der Einstellungsseite zu verhindern. Es ist aber ein Katz- und Mausspiel entstanden, da die Browser nach wie vor in vorauseilendem Gehorsam Passwortfelder ausfüllen wollen. Das Verhalten kann also nicht in allen Browsern und Browserversionen wirksam verhindert werden.

Handlungsempfehlungen

Um solche unglücklichen Fälle zu vermeiden, möchten wir Ihnen daher empfehlen:

• Speichern Sie Ihr kiz Account Passwort nicht in einem Passwortmanager.
• Falls Sie doch einen Passwortmanager verwenden möchten, konfigurieren Sie diesen bitte so dass er Passwortfelder nicht automatisch ausfüllt und / oder überprüft dass es sich um ein richtiges Login-Formular handelt. Dies wird nicht von allen Browser-Passwortmanagern unterstützt, Sie können aber auch externe Passwortmanager wie 1Password verwenden.
• Stellen Sie vor dem Speichern der Einstellungsseite sicher, dass wirklich der von Ihnen gewünschte Einschreibeschlüssel gesetzt ist.
• Und vor allem: Stellen Sie den Einschreibeschlüssel Ihren Studenten im Rahmen Ihrer Vorlesungsfolien oder als Handzettel und nicht mit einer Live-Demo in Moodle zur Verfügung.

Für alle Rückmeldungen und Fragen zum Thema stehen wir Ihnen gerne unter helpdesk(at)uni-ulm.de zur Verfügung.