Am avut (și-o să mai am în continuare) o perioadă destul de cruntă și colac peste pupăză am ajuns și extrem de irascibil și stresat. Aștept cu nerăbdare un concediu ceva și probabil aș avea nevoie de unul în care să “uit” acasă și laptop și telefoane mobile. Nu pot spune nici că n-am avut idei de subiecte zilele astea, nici că n-am avut inspirație. Ideile au venit și-au plecat, inspirația m-a prins în locuri și în momente în care nu puteam face mare lucru așa că am ajuns în stadiul de-a avea mai puțin de un post pe săptămână. Dacă o s-o duc tot așa cred c-o să se aplice popularul “boala lungă, moarte sigură”.
Am decis să “rup tăcerea” după ce-am citit o știre/un articol de pe Slashdot. Articol care mi-a dat niște fiori reci pe șira spinării.
“Usability expert and columnist Jakob Nielsen wants to abolish password masking: ‘Usability suffers when users type in passwords and the only feedback they get is a row of bullets. Typically, masking passwords doesn’t even increase security, but it does cost you business due to login failures.’ I’ve never been impressed by the argument that ‘I can’t think why we need this (standard) security measure, so let’s drop it.’ It usually indicates a lack of imagination of the speaker. But in this case, does usability outweigh security?”
Cu alte cuvinte, ca să facem internetul mai “user-friendly” ar trebui să afișam parolele în clar de fiecare dată când le tastăm undeva. Prima reacție a fost “What the fuck ?!!” urmată de un “Cine mă-sa-n cur e dobitocu’ ăsta ?”. După care (ajungem și la cine-i dobitocul) am început să citesc argumentele lui. Argumente atât de puerile și de cretine încât nu prea merită efortul de-a fi comentate. Totuși o s-o fac. Să le luăm pe rând :
Most websites (and many other applications) mask passwords as users type them, and thereby theoretically prevent miscreants from looking over users’ shoulders. Of course, a truly skilled criminal can simply look at the keyboard and note which keys are being pressed. So, password masking doesn’t even protect fully against snoopers.
More importantly, there’s usually nobody looking over your shoulder when you log in to a website. It’s just you, sitting all alone in your office, suffering reduced usability to protect against a non-issue.
“A truly skilled criminal” can kiss my hairy ass. De obicei îmi tastez parolele destul de rapid și maschez destul de bine tastele apăsate. Câteodată, când sunt persoane în jurul meu, mai bat “din greșeală” și alte taste pe care le șterg ulterior sau doar mimez apăsarea altor taste. Oricum, nu-i deloc simplu să “prinzi” o parolă bună chiar dacă ești atent la ceea ce tastezi. Bineînțeles, parolă bună înseamnă o înșiruire aparent aleatoare de caractere nu “gigi123”. Dacă nu deții typing skills poți oricând cere celor de lângă tine să-și întoarcă privirea câteva secunde. Sau te poți asigura (întorcându-te și uitându-te în jurul tău) că nimeni nu te vede.
Unul din cei care comentează articolul are un argument la fel de valid :
Not all of us have those nice cushy jobs Mr. Nielsen has, where we have our very own office. Roughly 99.9993% of office workers have colleagues. I guess Mr. Nielsen is just a tad detached from reality here.
Trecem la următoarele care-s la fel de haioase.
Users make more errors when they can’t see what they’re typing while filling in a form. They therefore feel less confident. This double degradation of the user experience means that people are more likely to give up and never log in to your site at all, leading to lost business. (Or, in the case of intranets, increased support calls.)
Bineînțeles, un cont de e-banking sau orice afacere unde confidentialitatea este importanta, unde-mi afișează parola în clar și unde există șanse infinit mai mari ca cineva să afle parola (fie că se uită la monitor cu luneta, fie că folosește un script care face screenshot-uri la ecran) nu va avea pierderi deloc. Utilizatorii vor da năvală pe viitorul serviciu de email apple.com unde, din rațiuni legate de uzabilitate, parolele sunt afișate în clar (folosesc ca exemplu apple.com din cauză că tagma celor care se culcă noaptea-n pat cu un produs apple este fix în targetul lui nenea de mai sus).
The more uncertain users feel about typing passwords, the more likely they are to (a) employ overly simple passwords and/or (b) copy-paste passwords from a file on their computer. Both behaviors lead to a true loss of security.
Ei, aici pot să spun că-i cam singurul punct în care are o urmă de dreptate. Am văzut parole salvate pe desktop (cineva chiar a redenumit o icoană de VPN Client cu parola). Dar ține mai mult de educarea utilizatorului și de explicarea dezavantajului de-a seta parole simple sau de-a salva parolele în clar undeva pe sistem. Chiar refuz să cred că există un utilizator care ține la confidențialitatea propriilor date, care înțelege dezavantajele unei parole simple sau salvate local și care alege să ignore avertismentele doar pentru a avea un plus de uzabilitate. Utilizatorul ăla își merită soarta.
Yes, users are sometimes truly at risk of having bystanders spy on their passwords, such as when they’re using an Internet cafe. It’s therefore worth offering them a checkbox to have their passwords masked; for high-risk applications, such as bank accounts, you might even check this box by default. In cases where there’s a tension between security and usability, sometimes security should win.
Am marcat cu “bold” inepțiile cele mai mari. Checkbox ca să bifezi dacă vrei sau nu parola mascată ? Asta nu face mai puțin “usable” site-ul pe care trebuie să dai încă coișpe click-uri ca să fii sigur că ești sigur ? Personal nici n-aș folosi site-ul care mă pune să fac treaba asta (deși la cum evoluează lucrurile parcă văd c-o să fiu nevoit în 2-3 ani să-mi încalc principiile). La internet banking CHIAR te gândești să permiți afișarea parolelor în clar ? Câteodată securitatea ar trebui să primeze ? Poate dacă am trăi într-o lume perfectă în care n-ar fi existat phishing, furturi de identitate și alte asemenea “neajunsuri” să zicem că un astfel de demers ar fi meritat o urmă de atenție. Dar având în vedere că niciodată nu poți fi prea sigur online, să zici “câteodată securitatea ar trebui să primeze” e o tâmpenie MARE.
Cam aici se oprește cu argumentele dar oricum, articolul merită (for fun) să fie citit în întregime.
Rar am văzut prostii debitate cu atâta seninătate de un “guru”, “expert” sau cum îl mai numesc diverse publicații. Și doar am nenorocul să văd zilnic o porție consistentă de idioți. E peste puterea mea de înțelegere cum oameni de genul ăsta capătă credibilitate și ajung să fie lăudați când pentru orice om cu ceva cunoștințe tehnice și o urmă de inteligență e destul de clar cam cât de mult rahat mănâncă. Sau poate am eu impresia greșită și sunt mai mulți cei care chiar îi împărtășesc opiniile. În cazul ăsta ne îndreptăm cu pași mari și repezi spre idiocrație.
ROFL
(ps. ia-ti un notebook = pen + paper pt idei :-)
Din pacate, indivizii ca tine sau ca mine, care prefera sa aiba parola mascata, cred ca sunt din ce in ce mai putini. Nu uita ca pe masura ce internetul patrunde in cele mai ascunse cotloane, indivizii cei mai atehnici incep sa capete acces tot mai usor la internet. Si da, pentru ei cred ca ar fi mult mai usor sa isi scrie parolele in clar…
Pai, sa propunem si noi PIN-uri in clar la bancomate.
Sau un checkbox pentru a opta daca vrei sau nu sa ai parola. Pe bune. Ar fi mult mai comod. Sa nu ai parola de loc. Doar daca insisti sau daca niste tipi se incapataneaza pe ideea de securitate sa-l poti bifa ca sa ai parola.
Asa putem deveni experti peste noapte.
asa sunt o parte dintre straini – de pe alta lume. am participat la cateva conferinte si unii chiar au reusit sa ma impresioneze mai mult decat colegele de servici – genul care-si noteaza pas cu pas ceea ce trebuie sa faca la servici inclusiv parole. ei pur si simplu traiesc intr-o alta lume. astia chiar merita sa fie “penetrati” :)) .
Haha, altii se chinuiesc sa sporeasca securitatea – sa nu apara nici bullets cand tastezi parolele, iar nea’ Caisa asta vine cu ideile lui parfumate de sub birou.
E clar ca gagiul asta n-a vazut niciodata un daskeyboard si cred ca i s-ar parea uber useless.
Io zic sa ne vedem de p@r0l3le noastre 1n continuare :)
Asta imi aminteste de “marii economisti” care habar n-au avut ca intram in rahat si acum isi dau cu parerea cat o sa dureze pana ne revenim.
Alt neavenit ridicat in slavi de o sleahta de idioti care cauta subiecte “interesante”.
Cand impui o parola cel mai probabil omul va alege o chestie gen “nume_copil_N” (unde N e de la 1 la cat e nevoie ca sa schimbe parola cand e obligat) indiferent ca o vede sau nu. Problema este DACA si-o aminteste, NU cat e de “greu de tastat”.
Ma rog, (fost) consultant la multinationale – debiteaza (tampenii) si colecteaza (bani cu lopata).
Exagerezi, zic eu.
Principiul asta de unmasked passwords e prezent in Windows 7 si nu ma deranjeaza catusi de putin. Bifez checkboxul si gata.
La parolele pt. WiFi nu ma deranjez, le las clear, pentru ca oricum in majoritatea cazurilor sunt doar eu in fata laptopului.
Eu sunt de acord cu nenea ăla și mi-aș dori o setare în browser unde să-mi aleg site-urile pe care vreau masking sau nu. Și sa fie mereu în clar pe mobil. Sau să implementeze toata lumea OpenID sa mă pot autentifica cu un certificat.
Atât timp cât cineva poate să se uite la tastatură (colegii de muncă ar putea chiar să-ți bage și un keylogger) mascarea nu ajuta, așa ca lamentarea asta nu are sens.
.
Marea problemă nu ar fi ca parola de la internet-banking e în clar ci ca utilizatorul accesează e-banking dintr-o locație nesigură.
@Znuff, PM
Ziceam prin articol că :
Retrag :D
Ai cam dat cu mucii in fasole prin felul dur in care te-ai exprimat. Iar nenea asta chiar e tare pe domeniul sau. In orice caz, iti recomand sa citesti replica asta http://www.schneier.com/blog/archives/2009/06/the_problem_wit_2.html. Daca nici in Schneier nu ai incredere, atunci cred ca orice comentariu e de prisos.
Oh, god. I’m going slightly mad…
Să zicem că împărțim toți utilizatorii internetului din lumea asta în 2 mari categorii. Ä‚ia care știu ce fac și ăia care nu știu ce fac.
“Demascarea” parolei o să fie pentru primii din ei un mare fail pentru că NU o să aleagă niciodată opțiunea de a masca parola. Utilizatorul obișnuit nu are grețuri prea mari în ceea ce privește securitatea și nu realizează implicațiile.
Ceilalți vor avea un click în plus de făcut de fiecare dată când se loghează undeva (atunci când sunt conștienți de riscul de securitate la care se expun). Cum într-o lume în care mobilitatea este la mare preț, arareori ești undeva cu adevărat singur/safe. Pot să fie chiar camere de luat vederi (și mai toate organizațiile au așa ceva) sau persoane aflate la o distanță relativ comfortabilă pentru tine dar care pot urmări destul de ușor ecranul tău. O opțiune în plus la fiecare login mi se pare chiar un dezavantaj dpdv al ușurinței în utilizare. Dar eu fac parte și din tagma ălora care cred că nu-i mare rahat să-ți ții minte o parolă și s-o tastezi chiar dacă-i mascată. Chiar dacă nu ai nici feedback pe ecran atunci când tastezi.
Și tot legat de asta mai avem și politica pe care o aplică fiecare persoană setului de parole folosit. Un utilizator obișnuit nu va avea prea multe parole. Cel mai probabil va avea cam aceeași parolă pe aproape toate site-urile pe care este înscris. Cu alte cuvinte, pentru o ușoară îmbunătățire a funcționalității utilizatorul riscă pierderea confidențialității.
Utilizatorul mediu/avansat va avea seturi de parole pe diverse grupe de interes. Șansele să piardă date confidențiale sunt mai mici. Pe mine personal m-ar cam oftica gândul că trebuie să schimb parola de pe 4-5 site-uri pe care foloseam aceeași parolă, pierdută în urma unui accident de “demascare”.
Cât despre afirmațiile unor domni “tari pe domeniul lor” cred că până la urmă fiecare om își rezervă dreptul de-a afirma/susține o tâmpenie indiferent cât de “tare” e pe domeniul respectiv. Nimeni nu-i infailibil.
Menționez că în 7 setarea implicită e să îți mascheze parola ^^
Sunt de acord cu Cristian in legatura cu demascarea implicita pe mobil – ffs, am un ecran de… cat? 2inch? hai 3 maxim si imi mascheaza parola?!
De asemenea as fi si eu mai fericit daca toate site-urile ar implementa OpenID. Mi se ia o piatra de pe inima cand vreau sa ma logez pe un site pe care nu am cont si observ acolo optiunea de OpenID.
Cred ca de fapt cel mai enervant lucru cand iti faci un cont undeva pe orice site, tu ca utilizator esti oarecum stresat de activarea mailului – daca mailul nu vine acum? daca ajugne in spam si nu-l vad? daca….? ca in rest nu e mare lucru sa completezi 2-3 chestii. Dar ca sa verific mailul in acelasi timp? Sa astept ca prostu’, sa dau click?
Ma rog, da’ asta-i deja alt subiect :-)