Che giấu mật khẩu: Tại sao nó không phải là một ý tưởng tốt

Bài viết Stop Password Masking, được viết bởi Tiến sĩ Jakob Nielsen, một chuyên gia được đánh giá cao về Web và giao diện người dùng:

"Jakob Nielsen, Tiến sĩ, là Người ủng hộ người dùng và là hiệu trưởng của Tập đoàn Nielsen Norman do ông đồng sáng lập với Tiến sĩ Donald A. Norman (cựu phó giám đốc nghiên cứu tại Apple Computer). Trước khi bắt đầu NNG năm 1998, ông là một Sun microsystems Kỹ sư xuất sắc.

Tiến sĩ Nielsen thành lập phong trào "kỹ thuật sử dụng giảm giá" để cải thiện nhanh chóng và rẻ tiền các giao diện người dùng và đã phát minh ra một số phương pháp sử dụng, bao gồm cả đánh giá heuristic. Ông nắm giữ 79 bằng sáng chế của Hoa Kỳ, chủ yếu về các cách làm cho Internet dễ sử dụng hơn. "

Như bạn có thể thấy bởi sự công nhận của Tiến sĩ Nielsen, việc ông đề cập rằng sử dụng mặt nạ mật khẩu là một ý tưởng tồi không phải là điều gì đó được xem nhẹ.

Tại sao phải che mật khẩu?

Cho đến khi tôi đọc bài viết, tôi coi việc che giấu mật khẩu là không có trí tuệ vì những lý do sau:

  • Che giấu mật khẩu là kết quả hợp lý của việc lo ngại về việc mọi người đánh cắp mật khẩu bằng cách quan sát trực quan mật khẩu được nhập.
  • Tự động hoàn thành là một giai đoạn ý tưởng tồi, nhưng mặt nạ giúp ngăn ai đó nhìn thấy mật khẩu trước đó có cùng một vài ký tự đầu tiên. Đây là mối quan tâm đặc biệt khi máy tính có nhiều người dùng.
  • Mật khẩu mặt nạ được yêu cầu bởi một số cơ quan quản lý để có được sự chấp thuận của họ. Ngoài ra, chính sách bảo mật của công ty có thể yêu cầu che giấu bất cứ khi nào mật khẩu được nhập.
Tại sao mặt nạ mật khẩu là xấu

Nielsen tóm tắt lập trường của mình bằng cách chỉ ra:

"Khả năng sử dụng bị ảnh hưởng khi người dùng nhập mật khẩu và phản hồi duy nhất họ nhận được là một loạt đạn. Thông thường, việc che giấu mật khẩu thậm chí không làm tăng tính bảo mật, nhưng nó làm bạn mất phí do đăng nhập thất bại."

Thông qua nghiên cứu của mình, Nielsen đã đi đến kết luận rằng việc sử dụng các viên đạn không cần thiết để che giấu các ký tự mật khẩu vi phạm một nguyên tắc khả dụng quan trọng, đó là cung cấp phản hồi cảm giác. Để sao lưu yêu cầu của mình, Nielsen cung cấp một số chi tiết bổ sung:

  • Người dùng mắc nhiều lỗi hơn khi họ không thể thấy những gì họ đang gõ trong khi điền vào biểu mẫu. Do đó, họ cảm thấy kém tự tin. Sự xuống cấp kép này của trải nghiệm người dùng có nghĩa là mọi người có nhiều khả năng bỏ cuộc và không bao giờ đăng nhập vào trang web của bạn, dẫn đến việc kinh doanh bị mất.
  • Người dùng càng không chắc chắn về việc nhập mật khẩu, họ càng có khả năng (a) sử dụng mật khẩu quá đơn giản và / hoặc (b) sao chép mật khẩu từ một tệp trên máy tính của họ. Cả hai hành vi đều dẫn đến mất an ninh thực sự.

Tôi không thấy bất kỳ tài liệu tham khảo nào cho các nghiên cứu xác minh một trong hai lý thuyết trên, cả hai dường như đều có giá trị.

Sử dụng thiết bị cầm tay

Tôi đồng ý với Nielsen về việc che giấu mật khẩu trên thiết bị di động là một nỗi đau thực sự. Để chứng minh, tôi biết các cộng sự làm chính xác như Nielsen đã đề cập ở trên. Họ tắt mật khẩu chỉ để dễ dàng nhập. Không phải là một điều thông minh để làm khi truy cập các trang web quan trọng như cổng thông tin ngân hàng.

Một quan điểm khác

Jason Montgomery, một chuyên gia bảo mật với Sans đã trình bày một quan điểm khác trong bài đăng trên blog này. Là một người say mê bảo mật, tôi rất thích thú với câu trả lời của anh ấy cho những gì Nielsen đã viết. Tôi đã trích dẫn nó trước đó, vì vậy đây là một bản tóm tắt của phần được đề cập đến:

"Thông thường, việc che giấu mật khẩu thậm chí không làm tăng tính bảo mật, nhưng nó làm bạn mất phí do đăng nhập thất bại."

Montgomery trả lời:

"Nielsen có lẽ đúng: Nó có thể khiến bạn phải trả giá cho doanh nghiệp. Câu hỏi đặt ra là kinh doanh bao nhiêu? Bảo mật không phải là mục tiêu tất cả, cuối cùng. Đó là để phục vụ tổ chức trước hết. Xem chi phí kiểm soát an ninh đối với chức năng mà nó bảo vệ là quan điểm chính xác.

Ông Montgomery nói tốt, tôi đồng tình với cách tiếp cận của bạn và tôi chắc chắn rằng Tiến sĩ Nielsen cũng vậy. Nó được gọi là thỏa hiệp và tôi nghĩ rằng Nielsen có thể đã tìm ra giải pháp:

"Có, người dùng đôi khi thực sự có nguy cơ bị người ngoài theo dõi mật khẩu của họ, chẳng hạn như khi họ đang sử dụng một quán cà phê Internet. Do đó, đáng để cung cấp cho họ một hộp kiểm để che giấu mật khẩu của họ, cho các ứng dụng có rủi ro cao, như ngân hàng các tài khoản, bạn thậm chí có thể kiểm tra hộp này theo mặc định. Trong trường hợp có sự căng thẳng giữa bảo mật và khả năng sử dụng, đôi khi bảo mật sẽ giành chiến thắng. "

Âm thanh như nó có thể làm việc, bạn nghĩ gì? Liệu nó có bao gồm tất cả các khả năng? Khi nào chúng ta biết nếu chúng ta đủ an toàn để hạ thấp tiêu chuẩn bảo mật để tăng khả năng sử dụng?

Suy nghĩ cuối cùng

Cho đến khi tôi đọc bài đăng trên blog của Nielsen, tôi cảm thấy rằng việc che giấu mật khẩu chỉ là một phần cần thiết của quy trình. Bây giờ tôi không chắc lắm. Đó là cồng kềnh và doanh nghiệp có thể mất khách hàng. Tuy nhiên, về mặt trái, không che giấu mật khẩu là một rủi ro bảo mật tiềm ẩn.

Tranh chấp xung quanh việc sử dụng mật khẩu tiếp tục gây ấn tượng với tôi về nhu cầu xác thực đa yếu tố chính. Nhưng mơ tưởng không giúp chúng ta ngay bây giờ. Bạn nghĩ gì về một khả năng sử dụng khác so với xung đột an ninh?

© Copyright 2020 | mobilegn.com