Cuando tu mundo es muy pequeño (o cuando tu visión es muy obtusa)
La idea de una mentalidad obtusa me gusta más para este tipo de personas. Me refiero a aquellas personas que no pueden entender el mundo (y por ende cualquier cosa que pasa) de una forma compleja, sino que solo se limita a observarla con sus limitados conocimientos o, peor aún, limitandolas a sus intereses.
Además podríamos agregar a lo que les voy a contar el amarillismo profesional. Cuando a uno le ponen “un micrófono” y tiene la oportunidad de decir algo que sabe que hará circular su nombre por Internet, y no desaprovecha la oportunidad, sin importar si lo que digo es cierto, o la primer pavada que se me ocurrió que tendría relevancia en los medios.
En fin, vayamos a los hechos. Jakob Nielsen, un experto en usabilidad, publicó una nota titulada “Stop Password Masking” (Basta de enmascarar las password) en donde afirma, entre otras cosas (son mis traducciones lo que ven a continuación):
“La usabilidad de los usuarios se ve afectada cuando tipean una contraseña y el único feedback que reciben es una serie de asteriscos. Por lo general, enmascarar los passwords incluso no aumenta la seguridad, sino que aumenta los costos de negocio por los login fallidos.”
“Es hora de mostrar las contraseñas en texto plano. Dar feedback y mostrar el estado del sistema fue siempre parte de los principios básicos de usabilidad.”
Luego, a lo largo del artículo, el autor complementa la idea explicando que el enmascaramiento de contraseñas está hecho para prevenir la “mirada por sobre el hombro” y agrega que “un criminal preparado, puede simplemente mirar qué teclas son presionadas“.
Como les decía anteriormente, me parece obtusa la visión de este hombre, porque considera solo su campo de conocimiento (la usabilidad), sin considerar qué pasa del lado de la seguridad (o mejor dicho, considerandolo como un verdadero amateur). Me molesta tanto escuchar esta idea como si escuchara a un profesional en seguridad queriendo volver todo “inusable” para el usuario (y doy fe que los escucho periódicamente).
Pero no quiero dejar de explicar por qué no considero correcta la propuesta de Nielsen.
En primer término, algunos colegas ya se encargaron de agregar información a la materia. Tal es el caso de Graham Cluley, de Sophos, que explica claramente que la idea de enmascarar las contraseñas no está hecha solo para quien espía por sobre el hombro. De hecho, es muy frecuente que en una misma computadora estén trabajando varias personas una al lado de otra, y en ese caso sería muy simple observar las contraseñas entre ellas al loguearse en diversos sistemas. Esto, para recordarle a Nielsen, sí ocurre muy frecuentemente en cualquier empresa del mundo.
Además, en el artículo original, el experto en usabilidad agrega que “más importante aún, es que usualmente no hay nadie mirando por sobre tus hombros cuando te logueas en un sitio web”, y agrega que “sos solo vos, sentado solo en tu oficina”.
Esto que menciona es muy cierto. Pero olvidemonos lo que expliqué anteriormente (que la mirada-por-sobre-el-hombro no es el único factor de riesgo). Supongamos que sí lo es. Entonces acompaño con otra propuesta similar: eliminemos el tráfico https (tráfico web cifrado): ¿cuántas veces que me logueo a un sitio web el tráfico está siendo monitoreado por un atacante? ¿El 1%? ¿El 0,5% o el 0,01%? ¿O menos? Mejor eliminemos el tráfico https y que toda la comunicación viaje en texto plano. Vuelvo a la idea principal: esta persona no solo sabe poco de seguridad, sino que ni se gastó en consultar a alguien que sí lo sepa. Que algo ocurra con poca frecuencia no es (siempre) motivo para no considerarlo en una medida de seguridad. ABC de la seguridad, Nielsen.
Pero quiero aportar una última visión sobre el tema que aportará, creo yo, explicaciones y a la vez alguna solución. ¿Por qué enmascarar las contraseñas? ¿Alguien pensó en el factor de concientización? Cuando un usuario ve las contraseñas enmascaradas, nota que esa información es importante, que no debe compartirla con nadie. Nota automáticamente que la contraseña es información sensible. Si pusieramos la contraseña en texto plano, el usuario no notaría diferencia entre la contraseña y su nombre. ¿La hay? Por supuesto que sí, y el enmascarar las contraseñas es una forma clara y sencilla de hacerle notar al usuario la importancia de una contraseña.
Por lo tanto, doy una solución mejor para mejorar la usabilidad de este tipo de problemas: eduquemos a nuestros usuarios. Las contraseñas deben ser recordables y no debe ser un problema para un usuario loguearse a un sistema. Fui administrador de red durante unos cuantos años y tuve muy pocos problemas de bloqueo de cuentas por las contraseñas. Además, son problemas que se solucionan rápidamente con unos pocos minutos de capacitación, y algún buen manual.
En fin, habrá quedado claro que esta idea de Nielsen mucho no me gustó, y mantengo mis dudas sobre el amarillismo de la idea.
Escucho opiniones. Como siempre. 
Leyendo el primer párrafo de tu post, sinceramente te juro que pensé que era un post político (sobre cierta presidenta de cierto país sudamericano y que empieza con A…)
Pero bueno, adentrándome en el post, no tengo mucho para comentar, sencillamente que tenés razón.
Saludos!
Sí, hay una presidenta de cierto país sudamericano y que empieza con A…, que tiene la cabeza obtusa también.
Hace años me leí el libro del Sr. Nielsen sobre usabilidad, según este señor las páginas web deberían ser todas texto plano, sin colores, sin flash, sin css, es decir todo molesta en las webs. Sinceramente creamos ciertos “gurús” que son encumbrados cuando lo que realmente dicen no tienen sentido.
Sebastian, de entrada te digo que si alguien me sugiere alguna idea como esta, simplemente lo dejo de leer y/o escuchar, los argumentos que da, no refutan en absoluto los principios básicos de seguridad
Saludos
Que tal, Sebastián.
Es que este señor no piensa en todos aquellos que no tienen computadora en su trabajo, y que solo pueden ir a un café internet a conectarse un par de horas al día, o en los que trabajan en oficinas de 10 por 10, como si no hubiera cubículos de 3 por 3.
Además, como dices tú, si dejamos de preocuparnos por el password en la computadora, dejaremos de hacerlo en el cajero del banco, en el acceso restringido de la planta nuclear donde trabajamos, en el teclado de nuestro guardarropa en la universidad…
Hace unos 8 años trabajé en una tienda departamental, y cada uno tenía su password para su caja.
Uno de los compañeros tenía los de casi todos (el mío lo cambiaba yo por iniciativa propia cada mes) y se dedicaba a abrirles las cajas y quitarles el equivalente a uno o dos dólares diarios a cada uno…
Y también salían asteriscos en el display de la caja.
Nunca la seguridad estará de más.
Pobre hombre, esperemos que no le roben la tarjeta de crédito.
Un saludo
La opinión del Sr. Nielsen tiene ciertos aires de elitismo e ignorancia intencionada que me recuerdan a las declaraciones del Sr. Aznar, expresidente del gobierno de España que aseguraba, por ejemplo, tener la clave para salir de la crisis para publicitar su nuevo libro… Amarillismo total aunque esto suponga decir barbaridades. Digo elitismo porque no todos trabajamos en un despacho propio sin gente alrededor, no todos tenemos internet en el hogar, etc. E ignorancia intencionada, porque como bien leemos en el post “esta persona no solo sabe poco de seguridad, sino que ni se gastó en consultar a alguien que sí lo sepa”. Todo está dicho ya
un detalle importante sobre lo de mirar sobre el hombro,(mas alla de que una persona realmente interesada en descubrir tus passwords puede utilizar varios metodos mas eficientes que mirar sobre el hombro), ahora:
Que es mas facil?
1 – mirar la contraseña que el otro està escribiendo sobre el teclado? donde la “facilidad en descubrirla” se relaciona mucho con la velocidad de tipeo y complegidad de la passwd
2 – ver el texto plain?
personalmente puedo recordar palabras y claves bastante largas de una sola ojeada, pero recordar la secuencia de tipeado de alguien que escribe velozmente me resulta muy dificil cuando no me es imposible.
muy bueno el post y todo el blog, de a poco voy leyendo las entradas viejas
si se mostraran las claves solo podria loguearme en mi casa cuando no hay nadie :S
Coincido en que la propuesta de este Sr. Nielsen muestra una “torpeza notable en comprender las cosas”(“estupidez” según rae.es) en lo que a seguridad se refiere.
Creo que ni siquiera debe haber leido nada sobre seguridad, o lo olvidó todo.
Habla de los costos que genera enmascarar la contraseña (los cuales no cuantifica) e ignora los costos derivados de la inseguridad por no nmascararla. ¿Porqué ignora los segundos?, esto es de alguien “escaso de razón” (“imbécil” según rae.es)
Lo peor es que gente con estas “características” se la escucha, se la publica y hasta le pagan por dar conferencias.