Masker passord: Hvorfor det ikke er lurt

Artikkelen Stop Password Masking, ble skrevet av Dr. Jakob Nielsen, en vel ansett ekspert på nett- og brukergrensesnitt:

"Jakob Nielsen, doktorgrad, er en brukeradvokat og rektor i Nielsen Norman Group som han var med å grunnlegge med Dr. Donald A. Norman (tidligere administrerende direktør for Apple Computer). Før han startet NNG i 1998 var han Sun Microsystems Distinguished Engineer.

Dr. Nielsen grunnla bevegelsen "rabattbrukbarhetsteknikk" for raske og billige forbedringer av brukergrensesnitt og har oppfunnet flere bruksmetoder, inkludert heuristisk evaluering. Han har 79 amerikanske patenter, hovedsakelig på måter å gjøre Internett enklere å bruke. "

Som du ser av Dr. Nielsens akkreditering, er det ikke noe å ta lett på å nevne at bruk av passordmaskering er en dårlig idé.

Hvorfor maskere passord?

Inntil jeg leste artikkelen, vurderte jeg maskeringspassord for å være en ikke-brainer av følgende grunner:

  • Maskering av passord var det logiske resultatet av å være bekymret for at folk stjeler passord ved å se passordet som ble lagt inn visuelt.
  • Automatisk fullføring er en dårlig idéperiode, men maskering hjelper til med å forhindre at noen ser tidligere passord som har de samme første tegnene. Dette er spesielt bekymringsfullt når datamaskinen har flere brukere.
  • Maskering av passord kreves av noen regulerende instanser for å få godkjenning. Et sikkerhetspolicy for et selskap kan også kreve maskering hver gang et passord angis.
Hvorfor passordmaskering er dårlig

Nielsen oppsummerer sin holdning ved å påpeke:

"Brukervennlighet lider når brukere skriver inn passord, og den eneste tilbakemeldingen de får er en rad med kuler. Masking av passord øker ikke engang sikkerheten, men det koster forretninger på grunn av feil i pålogging."

Gjennom sin forskning har Nielsen kommet til at bruk av ubeskrevne kuler for å dekke opp passordkarakterer bryter med et viktig brukbarhetsprinsipp, det å gi sensorisk tilbakemelding. For å sikkerhetskopiere kravet gir Nielsen noen ytterligere detaljer:

  • Brukere gjør flere feil når de ikke kan se hva de skriver mens de fyller ut et skjema. De føler seg derfor mindre trygge. Denne doble forringelsen av brukeropplevelsen gjør at det er mer sannsynlig at folk gir opp og aldri logger inn på nettstedet ditt, noe som fører til tapt virksomhet.
  • Jo mer usikre brukere føler om å skrive passord, jo mer sannsynlig er det at (a) bruker altfor enkle passord og / eller (b) kopierer inn passord fra en fil på datamaskinen deres. Begge atferden fører til et reelt tap av sikkerhet.

Jeg så ikke noen henvisning til studier som bekreftet noen av de ovennevnte teoriene, fremdeles ser det ut til at begge har fortjeneste.

Bruke bærbare enheter

Jeg er enig med Nielsen i hvordan maskering av passord på mobile enheter er en virkelig smerte. Som bevis, kjenner jeg kolleger som gjør akkurat som Nielsen nevnt over. De legger ned passordet, så det er enkelt å legge inn. Ikke en smart ting å gjøre når du besøker viktige nettsteder som en bankportal.

Et annet synspunkt

Jason Montgomery, en sikkerhetsekspert med SANS, presenterte et annet synspunkt i dette blogginnlegget. Som et sikkerhetsvansker var jeg interessert i svaret hans til noe Nielsen hadde skrevet. Jeg siterte det tidligere, så her er en oversikt over delen som blir referert til:

"Vanligvis øker ikke maskering av passord sikkerheten, men det koster deg virksomhet på grunn av feil i påloggingen."

Montgomery svarte:

"Nielsen har sannsynligvis rett: Det kan koste deg virksomhet. Spørsmålet er hvor mye virksomhet? Sikkerhet skal ikke være alt-til-slutt-målet. Det er der for å tjene organisasjonen først og fremst. Å se kostnadene for sikkerhetskontroller med hensyn til funksjonen den beskytter er det rette perspektivet.

Vel sagt Mr. Montgomery, jeg er enig i din tilnærming og jeg er sikker på at Dr. Nielsen gjør det også. Det kalles kompromiss, og jeg tror at Nielsen allerede har funnet en løsning:

"Ja, brukere risikerer noen ganger virkelig å få tilreisende spionere etter passordene sine, for eksempel når de bruker en Internett-kafé. Det er derfor verdt å tilby dem en avkrysningsrute for å få maskene passordet; for høyrisikoprogrammer, for eksempel bank kontoer, kan du til og med merke av i denne boksen som standard. I tilfeller der det er spenning mellom sikkerhet og brukervennlighet, bør noen ganger sikkerhet vinne. "

Høres ut som det kan virke, hva tror du? Dekker det alle muligheter? Når vet vi om vi er trygge nok til å senke sikkerhetsstandarder for økt brukervennlighet?

Siste tanker

Inntil jeg leste Nielsens blogginnlegg, følte jeg at maskering av passord bare var en nødvendig del av prosessen. Nå er jeg ikke så sikker. Det er tungvint og bedrifter kan miste kunder. Likevel på baksiden er ikke en maskering av passord en potensiell sikkerhetsrisiko.

Tvister rundt bruk av passord fortsetter å imponere på meg behovet for mainstream multifaktor-godkjenning. Men ønsketenkning hjelper oss ikke akkurat nå. Hva tar du for deg enda en brukbarhet kontra sikkerhetskonflikt?

© Copyright 2021 | pepebotifarra.com