Spring til login

Digitaliser.dk

Sektioner

Aktuel side

Gruppens profilbillede

OIO Brugerstyring

74 medlemmer | Medlemsskab via fri tilmelding (Bliv medlem - kræver login )
Profilens billede

Jacob Nielsen siger "Stop Password Masking"

Søren Peter Nielsen - 14.08.2009

Summary:
Usability suffers when users type in passwords and the only feedback they get is a row of bullets. Typically, masking passwords doesn't even increase security, but it does cost you business due to login failures.

http://www.useit.com/alertbox/passwords.html

Det lyder rimeligt. Er der nogen som er uenige med Jacob?

/Søren P

Sæt/fjern bogmærke
+1

Kommentarer (2)

Profilens billede 1
Kristoffer Olsen - 14.08.2009

Jeg undrer mig lidt over, at han ikke forholder sig til den model, hvor det sidste tegn i kodeordet vises i klartekst men maskeres, så snart man indtaster det næste tegn. Den bruges eksempelvis på iphone / ipod.

Derudover kan jeg ikke helt følge hans argument om, at man mister brugere, hvis de oplever, at de skal taste deres kodeord flere gange som følge af tastefejl. Hvis man allerede har et kodeord til en tjeneste må det vel være udtryk for, at man har en klar interesse i at bruge tjenesten.

Ydermere synes jeg, at han ignorerer tendensen mod en stærkt stigende brug af online-tjenester i det offentlige rum (ikke kun internet-caféer, som han skriver men overalt i tog, på almindelige caféer og sågar på gaden) takket være billigere mobile enheder og mobilt internet. Der har eksempelvis allerede været skrevet flere artikler i Computerworld om, hvordan man kan aflure forretningshemmeligheder ved at læse over skulderen på forretningsfolks bærbare computere i flyet.

Endelig synes jeg ikke, at det holder, når han skriver, at trænede kriminelle bare kan kigge på tastaturet for at se, hvad der bliver indtastet og at maskering af kodeordet derfor ikke giver yderligere sikkerhed. Hvis kodeordet ikke maskeres, har man mulighed for at aflæse hele kodeordet i hele det tidsrum, det tager at indtaste det. Hvis det derimod maskeres og man er nødt til at aflæse brugerens tastetryk har man kun de milisekunder, hvor brugerens finger befinder sig på en bestemt tast til at aflæse det pågældende tegn.

Profilens billede 2
Stephan Engberg - 14.08.2009

Jeg er isoleret rimeligt enig i betragtningen men også i Kristoffer Nilaus kommentar.

Helt generelt er password-sikkerhed en næsten håbløs affære fordi vi ikke kan huske komplekse passwords og slet ikke mange af dem Det problem løses først når vi har et borgerkort som kan huske alle vores nøgler og holde dem adskilt.

 

Omkring passords har Bruce Schneier har en god checkliste her.

http://www.schneier.com/blog/archives/2009/08/password_advice.htm

 

Personligt mener jeg at hele passwordproblemstillingen vil forsvinde. Brugerid/password modellen antager at styringen ligger serverside hvor sikkerheden klient/online dermed slet ikke tilgodeses. Ligesom brugeren ikke aner hvordan mobiltelefonen kobler sig til en bestemt modpart så vil det samme være tilfældet for sikkerhed generelt - forskellen er blot at brugerens device selvfølgelig skal indrettes til at sikre brugeren i modsætning til f.eks. mobiltelefoner som er et godt eksempel på sikkerhed som optimeres til at kontrollere brugeren uden reelt at sikre.

 

Tilføj fil(er)

En ny fil vil overskrive en eksisterende fil, hvis begge filer har samme navn og samme ekstension.

Luk

Fjern fremhævning

Digitaliseringsstyrelsen