Einfügen im Passwortfeld absichtlich deaktiviert

🧔🏻 Martin Ueding

🗓️ 2026-02-19

📂 Code & Zahlen

Manche Webseiten unterbinden das Einfügen von Passwörtern aus der Zwischenablage. Das ist wirklich gefährlicher Unsinn.

Jedes Jahr wechsele ich den Stromanbieter. Damit spare ich ungefähr 30 % gegenüber dem Verbleib bei einem dieser Anbieter oder gar dem Grundversorger. Es ist ein albernes Spiel, bei dem man jedes Jahr Neukundenboni bekommt. Aber gut, der Markt will das halt so.

Nun war das Jahr beim vorherigen Stromanbieter vorbei, nun bin ich bei Aras Energy. Das sind irgendwie immer so Marken, die wahrscheinlich am Ende zu einem großen Stromerzeuger gehören. Oder irgendwelche Stadtwerke aus irgendwelchen Städten. Ist mir auch herzlich egal. Einer dieser Anbieter ist mir mal insolvent gegangen, dann war ich halt im Grundversorger. Der Strom wurde niemals abgestellt.

Jedenfalls wollte ich mich zu deren Kundenportal registrieren. Ich sollte dann ein Passwort vergeben:

Aber ich konnte da nicht das sichere, lange, zufällige Passwort aus dem Passwortmanager per Zwischenablage einfügen. Das haben sie nämlich mit JavaScript unterbunden:

<input 
    name="ctl00$MainContent$PasswordReset$txt_PasswortNeu" 
    type="password" 
    maxlength="50" 
    id="MainContent_PasswordReset_txt_PasswortNeu" 
    class="form-control" 
    oncopy="return false" 
    onpaste="return false"
>

Da muss sich entweder irgendein:e Manager:in oder Programmierer:in entschieden haben, dass das eine gute Idee ist. Troy Hunt hatte schon 2014 einen Artikel darüber, warum das eine schlechte Idee ist. Die von dem Stromanbieter haben das anscheinend aber nicht mitbekommen.

Ich habe denen dann mal eine entsprechende E-Mail geschickt:

Sehr geehrte Damen und Herren,

ich werde seit heute von Ihrer Firma mit Strom beliefert. Gerne hätte ich Ihnen den heutigen Zählerstand von … im Online-Portal eingetragen.

Leider kann ich bei der Erstellung eines Passwort für das Kundenkonto mein langes und sicheres Passwort aus dem Passwortmanager nicht reinkopieren. Da scheint sich irgendjemand gedacht zu haben, dass man das aus fadenscheinigen "Sicherheitsgründen" nicht einfügen darf. Soll ich jetzt ein unsicheres Passwort eintippen, oder was ist da der Plan hinter?

Ich bitte darum, dieses unsinnige "Feature" zu entfernen, sodass man sinnvoll einen Passwortmanager nutzen kann.

Mit freundlichen Grüßen

Martin Ueding

Eine Reaktion gab es darauf auch nach mehreren Wochen nicht.

Ich habe das Passwort dann doch noch setzen können, indem ich die KeePassXC-Browsererweiterung das habe einfügen lassen. Und so habe ich dann doch mein sicheres Passwort nutzen können. Das habe ich denen aber nicht geschrieben.

Ansonsten ist die Webseite auch ziemlich unbefriedigend. Da gibt es den Menüpunkt "Zählerstand erfassen", unter dem man aber keinen Zählerstand erfassen kann:

Gut, ist ein Stromanbieter, keine Webdesign-Firma. Aber das wirkt schon alles ziemlich gruselig.