Cuando tu mundo es muy pequeño (o cuando tu visión es muy obtusa)

Seba Bortnik —  30 junio 2009 — 10 comentarios

La idea de una mentalidad obtusa me gusta más para este tipo de personas. Me refiero a aquellas personas que no pueden entender el mundo (y por ende cualquier cosa que pasa) de una forma compleja, sino que solo se limita a observarla con sus limitados conocimientos o, peor aún, limitandolas a sus intereses.

Además podríamos agregar a lo que les voy a contar el amarillismo profesional. Cuando a uno le ponen “un micrófono” y tiene la oportunidad de decir algo que sabe que hará circular su nombre por Internet, y no desaprovecha la oportunidad, sin importar si lo que digo es cierto, o la primer pavada que se me ocurrió que tendría relevancia en los medios.

En fin, vayamos a los hechos. Jakob Nielsen, un experto en usabilidad, publicó una nota titulada “Stop Password Masking” (Basta de enmascarar las password) en donde afirma, entre otras cosas (son mis traducciones lo que ven a continuación):

“La usabilidad de los usuarios se ve afectada cuando tipean una contraseña y el único feedback que reciben es una serie de asteriscos. Por lo general, enmascarar los passwords incluso no aumenta la seguridad, sino que aumenta los costos de negocio por los login fallidos.”

“Es hora de mostrar las contraseñas en texto plano. Dar feedback y mostrar el estado del sistema fue siempre parte de los principios básicos de usabilidad.”

Luego, a lo largo del artículo, el autor complementa la idea explicando que el enmascaramiento de contraseñas está hecho para prevenir la “mirada por sobre el hombro” y agrega que “un criminal preparado, puede simplemente mirar qué teclas son presionadas“.

Como les decía anteriormente, me parece obtusa la visión de este hombre, porque considera solo su campo de conocimiento (la usabilidad), sin considerar qué pasa del lado de la seguridad (o mejor dicho, considerandolo como un verdadero amateur). Me molesta tanto escuchar esta idea como si escuchara a un profesional en seguridad queriendo volver todo “inusable” para el usuario (y doy fe que los escucho periódicamente).

Pero no quiero dejar de explicar por qué no considero correcta la propuesta de Nielsen.

En primer término, algunos colegas ya se encargaron de agregar información a la materia. Tal es el caso de Graham Cluley, de Sophos, que explica claramente que la idea de enmascarar las contraseñas no está hecha solo para quien espía por sobre el hombro. De hecho, es muy frecuente que en una misma computadora estén trabajando varias personas una al lado de otra, y en ese caso sería muy simple observar las contraseñas entre ellas al loguearse en diversos sistemas. Esto, para recordarle a Nielsen, sí ocurre muy frecuentemente en cualquier empresa del mundo.

Además, en el artículo original, el experto en usabilidad agrega que “más importante aún, es que usualmente no hay nadie mirando por sobre tus hombros cuando te logueas en un sitio web”, y agrega que “sos solo vos, sentado solo en tu oficina”.

Esto que menciona es muy cierto. Pero olvidemonos lo que expliqué anteriormente (que la mirada-por-sobre-el-hombro no es el único factor de riesgo). Supongamos que sí lo es. Entonces acompaño con otra propuesta similar: eliminemos el tráfico https (tráfico web cifrado): ¿cuántas veces que me logueo a un sitio web el tráfico está siendo monitoreado por un atacante? ¿El 1%? ¿El 0,5% o el 0,01%? ¿O menos? Mejor eliminemos el tráfico https y que toda la comunicación viaje en texto plano. Vuelvo a la idea principal: esta persona no solo sabe poco de seguridad, sino que ni se gastó en consultar a alguien que sí lo sepa. Que algo ocurra con poca frecuencia no es (siempre) motivo para no considerarlo en una medida de seguridad. ABC de la seguridad, Nielsen.

Pero quiero aportar una última visión sobre el tema que aportará, creo yo, explicaciones y a la vez alguna solución. ¿Por qué enmascarar las contraseñas? ¿Alguien pensó en el factor de concientización? Cuando un usuario ve las contraseñas enmascaradas, nota que esa información es importante, que no debe compartirla con nadie. Nota automáticamente que la contraseña es información sensible. Si pusieramos la contraseña en texto plano, el usuario no notaría diferencia entre la contraseña y su nombre. ¿La hay? Por supuesto que sí, y el enmascarar las contraseñas es una forma clara y sencilla de hacerle notar al usuario la importancia de una contraseña.

Por lo tanto, doy una solución mejor para mejorar la usabilidad de este tipo de problemas: eduquemos a nuestros usuarios. Las contraseñas deben ser recordables y no debe ser un problema para un usuario loguearse a un sistema. Fui administrador de red durante unos cuantos años y tuve muy pocos problemas de bloqueo de cuentas por las contraseñas. Además, son problemas que se solucionan rápidamente con unos pocos minutos de capacitación, y algún buen manual.

En fin, habrá quedado claro que esta idea de Nielsen mucho no me gustó, y mantengo mis dudas sobre el amarillismo de la idea.

Escucho opiniones. Como siempre. ;-)

About these ads

10 responses to Cuando tu mundo es muy pequeño (o cuando tu visión es muy obtusa)

  1. 

    Coincido en que la propuesta de este Sr. Nielsen muestra una “torpeza notable en comprender las cosas”(“estupidez” según rae.es) en lo que a seguridad se refiere.

    Creo que ni siquiera debe haber leido nada sobre seguridad, o lo olvidó todo.

    Habla de los costos que genera enmascarar la contraseña (los cuales no cuantifica) e ignora los costos derivados de la inseguridad por no nmascararla. ¿Porqué ignora los segundos?, esto es de alguien “escaso de razón” (“imbécil” según rae.es)

    Lo peor es que gente con estas “características” se la escucha, se la publica y hasta le pagan por dar conferencias.

  2. 

    muy bueno el post y todo el blog, de a poco voy leyendo las entradas viejas

    si se mostraran las claves solo podria loguearme en mi casa cuando no hay nadie :S

  3. 

    un detalle importante sobre lo de mirar sobre el hombro,(mas alla de que una persona realmente interesada en descubrir tus passwords puede utilizar varios metodos mas eficientes que mirar sobre el hombro), ahora:

    Que es mas facil?

    1 – mirar la contraseña que el otro està escribiendo sobre el teclado? donde la “facilidad en descubrirla” se relaciona mucho con la velocidad de tipeo y complegidad de la passwd

    2 – ver el texto plain?

    personalmente puedo recordar palabras y claves bastante largas de una sola ojeada, pero recordar la secuencia de tipeado de alguien que escribe velozmente me resulta muy dificil cuando no me es imposible.

Trackbacks and Pingbacks:

  1. Usabilidad, un ejemplo más « Mundo Binario - julio 7, 2009

    [...] escueto esfuerzo solo por conocer más instrucciones de programación, muchas veces siguen con la cabezota obtusa y no intentan complementarse con cuestiones básicas para mejorar su [...]

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s