Usability fail – revisited

Mai țineți minte ce ziceam prin postul ăsta ? Cum că ne îndreptăm încet încet spre idiocrație ? Well, se pare că suntem deja acolo. Și mă trece o ușoară senzație cum c-o să ajung să fiu teribil de frustrat din cauza asta într-un timp mai scurt decât credeam până acum. Până acum credeam c-o să apuc perioada aia cam când o să fiu în plină vârstă a 3-a cu avantajele minunate ale sclerozei și n-o să-mi mai pese. Well, s-ar putea să vină vremurile alea mult mai devreme și să fiu îndeajuns de întreg la minte încât să mă enervez des pe tema asta.

Dar hai să trec și la subiect. Printre chestiile pe care le tot învârt în domeniul ăsta IT am ajuns mai anul trecut și notar Thawte. Sistemul de certificate pentru email de la Thawte e de tip “web of trust” și necesită “notarizarea” persoanelor care doresc un certificat cu numele lor cu care să-și poată semna digital comunicația electronică. Sistemul este destul de inteligent făcut, fiecare notar având dreptul să “doneze” un număr de puncte direct proporțional cu activitatea depusă de el ca notar până în acel moment. Nu asta e important. Important este că, în urma unei întrebări puse de un amic despre punctele lui, am vrut să mă loghez pe site-ul thawte. Am constatat că am uitat parola și că trebuie să fac un password recovery.

După o scurtă căutare a link-ului prin care ceream o parolă nouă am dat peste pagina în care este explicată metoda prin care poți reseta parola.  Nu vă dau link-ul, îl puteți găsi relativ ușor și singuri, însă citez din el. Metoda se bazează pe completarea unui formular online în care trebuie să introduci următoarele date :

1. Your Full names and Surname
2. Your Thawte ID
3. One of your assured email addresses  or the Email address you used to enrol into our Personal Certification System
4. Date of Birth

După ce-am trimis formularul respectiv (ATENÈšIE – am uitat să precizez data nașterii în formular), cam la 2-3 ore am primit un mail cu o parolă nouă, temporară. Fără verificări suplimentare, fără întrebări de securitate, fără alte comentarii. La CaCert trebuie să răspund la 3 întrebări de securitate atunci când uit parola. Și parola setată la ei trebuie să îndeplinească anumite criterii. Culmea este că și la Thawte am setate 5 întrebări de securitate dar care văd că nu sunt folosite la nimic. O fi din cauza IQ-ului tot mai scăzut sau o fi vreun bug (a se citi “feature sau bug”) ? Nu știu, dar începe să devină înspăimântător.

Buun, și îmi ajunge și mail-ul cu parola temporară. Prima mișcare, să mă duc să setez parola nouă. Parola temporară era “pass123” (WOOW, parolă BETON). La ecranul de schimbare a parolei am avut un șoc. Am înjurat cu voce tare. De ce ? Vă las să vedeți și singuri. Ah, și parola setată de mine (și acceptată) NU are litere mari. Are doar cifre și litere mici. Așa că un ditai FAIL pentru Thawte și la capitolul ăsta.

thawte_pass

Să recapitulăm ? Metodă absolut idioată de recuperare a parolei, parole temporare pentru idioți și parole în clar la schimbare. Toate astea le găsiți numai la Thawte, una dintre cele mai mari autorități de certificare worldwide.

Viitorul sună bine !

7 Comments Usability fail – revisited

  1. add

    pe mine ma enerveaza fantastic saiturile care imi impun cum sa arate parole (“macar un caracter non alfanumeric, unul numeric” etc). Lasa-ma ca stiu eu mai bine, atata timp cat securitatea ta nu e influientata daca-mi gaseste mie cineva parola lasa-ma in sufletul meu sa o pun cum vreau eu.

    Reply
  2. Meekuu

    @add, tocmai că în cazul ăsta era influențată. E vorba totuși de un CA. Și nu unul apărut peste noapte.

    Reply
  3. tcristi

    culmea e ca anul trecut cand am cerut certificatul de la thawte de abia aparuse vista , eu aveam instalat si certificatul nu era suportat . acum cand am vrut sa il reinnoiesc, am instalat win7, si iar imi spune ca nu e suportat ! sa fie microsoft prea inainte pentru vremurile noastre ??? :)

    Reply
  4. bogd

    @tcristi: In momentul in care a apărut Vista, s-a modificat sistemul de management al certificatelor din SO. Ceea ce a facut imposibila instalarea certificatelor de la Thawte.

    Desi am contactat tech support-ul lor, nu am primit nici un raspuns. Si 2 ani mai tarziu (cand mi-a expirat certificatul), problema inca nu era rezolvata.

    Pana la urma am pornit o masina virtuala cu WinXP DOAR ca sa instalez certificatul in Tbird…

    Reply
  5. tcristi

    @bogd : am aflat la vremea respectiva, despre modificarea sistemului de certificate, de la xp la vista, dintr-un comunicat thawte/verisign (nu mai stiu exact de la cine) . bine macar ca la win7 iti spune direct ca nu merge.

    Reply
  6. noru

    Din screenshotul tau mie mi-a sarit in ochi URL-ul, adica /cgi/personal/general/passwd.exe. Deh, eu sunt programator PHP si rad pe sub mustati acuma.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *