Archive forJune, 2009

Între useability și stupidity

Am primit zilele trecute de la Meekuu un articol (apărut pe slashdot) care mi-a dat niște fiori reci pe șira spinării. Nu pentru că ar exista indivizi care consideră că înlocuirea parolelor cu steluțe este prea mult pentru capacitățile utilizatorilor obișnuiți. Ci pentru că respectivii sunt „experți” și „guru”, și încep să am sentimentul că opinia lor începe să devină majoritară.

Nu de alta, dar nu sunt decât câteva luni de când citeam un thread pe un forum românesc în care o altă serie de bizoni indivizi se plângeau că ei nu vor Internet Banking cu token, că le e greu să care tokenul după ei (un dispozitiv de mărimea a 2 cărți de credit, și de câteva zeci de grame – asta în condițiile în care par să nu aibă nici o problemă în a căra un laptop de 2 kile, ca să „intre pe internet banking doar de pe laptop-ul propriu”).

OK, recunosc că sunt somewhat of a „security geek”. Și că mă deranjează până și faptul că pe telefonul meu mobil apare în clar ultimul caracter al parolei (deși trebuie să recunosc că soluția respectivă e un compromis destul de bun între „steluțe” și „toată parola în clar”). Mă uimește totuși că inclusiv Bruce Schneier (unul din oamenii pe care chiar îi consider experți în securitate) pare să fie de acord cu soluția.

Cum nu pot să nu mă amestec în discuție, încerc să explic de ce eu în continuare consider soluția respectivă una neinspirată:

  1. Utilizatorii se împart în 2 categorii: tehnici, și non-tehnici. Soluția este destinată celor non-tehnici (tehnicii au parole lungi, complicate, și le ia mai puțin să scrie din nou parola decât să corecteze un typo în „MyV3ryC0mpl3xP@55w0rD” :-P ). DAR! Persoanele non-tehnice în general nu sunt touch-typists, și cât scriu parola au ochii pe tastatură, nu pe ecran. Și atunci nu îi ajută foarte mult faptul că apare parola scrisă.
  2. Autorul spune „steluțele nu ajută, că un individ care stă lângă tine poate vedea ce scrii”. Așa am crezut și eu, până când (acum mulți ani) am întâlnit un individ care mi-a explicat că nu e chiar așa. Și la ora actuală sunt dispus să provoc pe oricine să stea lângă mine cât timp eu îmi scriu parola. De zece ori. El stând cu ochii în tastatură, fix pe mâinile mele. Dacă la final el știe parola, dau o bere. Sau zece!
  3. Continuând ideea de mai sus – dacă de citit pe tastatură e practic imposibil (cel puțin pentru un individ care scrie relativ repede), de citit (și reținut) ceva de pe ecran e incredibil de ușor. Acum câteva zile mă uitam la un CBTNugget. Și soft-ul demonstrat de individ era din categoria „parole în clar”. Deși parola respectivă a stat pe ecran sub o secundă (cât i-a luat lui să o scrie și să apese „enter”), am văzut-o, mi-a atras atenția, și ca urmare am reținut-o. Fără să dau filmul înapoi, și fără slow-motion. Era „Mtncl1mbr” (nu mai știu dacă era cu M mare sau mic, dar nu cred că asta e o problemă pentru cineva :-P ). Ca urmare, mai fac un pariu – cine vrea, scrie parola lui cât de repede poate, în clar. Cu mine undeva în spatele lui. Sunt convins că din maxim 5 încercări știu destul din parolă cât să mă descurc la un login (un pic mai dificil cu parolele de tip „Tqbfj0tld!”, dar nu imposibil :) )
  4. Majoritatea utilizatorilor au parole identice (sau foarte asemănătoare) pe mai multe servicii. Dacă una singură din parolele respective este compromisă, restul se duc prin efect de domino.

Și fix când voiam să spun „nu cred că a posibil ca o bancă având sistemul respectiv de <clear-text passwords> ar trece vreun audit de securitate, găsesc un comentariu interesant pe blog-ul lui Schneier: „I have worked as CISO in several banks and can confirm that shoulder surfing does take place. Consequently, I would ban any system that displays passwords in a shared office or in public.”

Înainte să îmi spuneți „dar noi nu vorbeam de bănci, ci doar de sisteme low-risk”, vă întreb – ce înseamnă „low-risk”? Parola de wireless (care se poate vedea în clar în Win7) înseamnă pentru mine ca administrator accesul unui atacator din parcare în rețeaua mea internă. Parola de login pe sistem este de multe ori parola de domeniu a utilizatorului, și permite un foarte frumos caz de identity-theft electronic între colegi (cu consecințe care pot fi din cele mai neplăcute – nu mai devreme de săptămânile trecute un coleg de facultate a ajuns aproape de exmatriculare printr-o astfel de situație). Adăugați ce spuneam mai sus despre parole similare pentru scopuri diferite, și veți înțelege de ce nu consider nici o parolă „neimportantă” (întrebați-l pe Meekuu ce-a pățit când a vrut parola de pe un sistem de-al meu :-P )

Slightly OT: Autorul mai spune “Password masking has become common for no reasons other than (a) it’s easy to do, and (b) it was the default in the Web’s early days.”. O fi el expert în usability, dar aici e cam pe lângă. Mecanismele de „password hiding” există de pe vremea mainframe-urilor, fără nici o legătură cu „the Web’s early days”.

Așa că oameni buni, încetați cu argumente de genul „ăla chiar e expert, SIGUR are dreptate”!! Ați auzit de „argumentum ad verecundiam”? Dacă X e „expert”, nu înseamnă că nu poate da cu bâta-n baltă ocazional. Și experții sunt oameni, și orice om poate greși :-P

Comments (3)

Our Buggy Moral Code

Dan Ariely vorbește despre codul nostru moral. Și ciudățeniile lui. Nu pot să nu îmi amintesc de povestea legată de valoarea banului

Credits go to Roxana ;-) (unul din cei doi cititori fideli :-P )

Comments (1)

SIM-u’ de la Orange

Vineri dimineață am avut examen. Și cum ieșeam eu de la examen pe la ora 9 și ceva, constat că telefonul meu e pe „no service”. Înghit un pic în sec (nu de alta, dar e telefonul de la firmă, și e bine să mă poată găsi lumea pe el :) ), dar zic „nu-i nimic – probabil o problemă locală. Își revine el”.

După care mă pun pe drumuri. Ocazie cu care ajung prin toate colțurile Bucureștiului. Și telefonul tot pe „no service”. Încep deja să mă îngrijorez, având în față imaginea unui weekend petrecut fără telefonul mobil (da, știu, ar fi fost un weekend foarte liniștit, dar și când începea săptămâna următoare… :-P ).

Ajung la muncă, și întreb – „știe cineva ce trebuie făcut?”. Șeful zice „stai așa, că vorbesc eu cu ăștia!”, și sună la ei. Între timp, un coleg îmi explică – „se mai strică uneori SIM-ul, și trebuie să mergi la un Orange Shop să ți-l înlocuiască”. Șeful termină de vorbit (știți că la Orange și Vodafone e așa de mișto făcut sistemul încât stai minim 20 de minute prin opțiuni și/sau în așteptare până să poți să vorbești cu o ființă umană. Și da, asta e valabil inclusiv pentru un abonament de firmă!), și îmi spune și el același lucru.

Bun – zic ceva printre dinți, dar plec. Ajung la Orange Shop, mi se dă un alt SIM. Și persoana de acolo, foarte drăguță, se oferă să îmi transfere datele de pe SIM-ul vechi pe cel nou. Hoooopaaaa – stați așa, că se aprind niște beculețe! Păi dacă e stricat, cum „se mai întâmplă”, cum naiba a putut citi toate cele 125 de intrări din agendă?

Ca urmare, nu mă pot abține, și o întreb – „nu vă supărați, dar de ce nu mai mergea? Și de ce mi-ați scris aici pe hârtie <cartelă blocată>”?

Răspunsul e fascinant – „Aaaa, am bifat eu căsuța respectivă, nu contează. SIM-ul este demagnetizat (!!!). Se mai întâmplă, dacă îl țineți lângă un alt telefon (!!!!). Sau lângă laptop. Sau…”. O opresc înainte să mai continue (nu de alta, dar mi-e mult prea greu să cred că un circuit care este conceput să funcționeze FIX lângă un emițător RF se va „demagnetiza” dacă îi pui un alt emițător pe lângă el). Îmi recuperez SIM-ul, îi mulțumesc și plec.

Acum… mi-a șoptit o păsărică altceva. Că vineri stau tehnicii de la Orange la muncă, și se cam plictisesc. Ocazie cu care mai dezactivează câte o o tranșă de câteva sute de SIM-uri. Și (surprinzător? :-P ) nu se deranjează să verifice că toate alea sunt inactive.

Nu știam ce să cred. Parcă incompetența e prea mare, și mă așteptam la mai multe de la o firmă de dimensiunea Orange. Și până la urmă, SIM-urile sunt componente electronice, și se mai întâmplă să se strice și ele uneori.

Adevărata surpriză vine a doua zi (adică sâmbătă), pe la prânz. Când primesc un mesaj de la Meekuu – „auzi, bre? Ție îți mai merge SIM-ul de 3G? Că pe al meu nu-l mai vede modem-ul de vineri!”. Mă apucă un râs nervos, și îl sun să îi povestesc toată pățania.

Acum vă las pe voi să trageți concluziile. Mie unul mi se pare mai improbabil ca SIM-urile să se „demagnetizeze” „întâmplător” numai vineri. Și mult mai probabilă varianta cu „a scăpat Dorel în baza de date”…

[Edit: povestea s-a întâmplat din nou. Și din nou. De 3 ori într-un an și jumătate. Ultima dată a ieșit chiar cu show. Dacă sunteți curioși să aflați detalii, le găsiți aici și aici :) ]

Comments (20)

100GE is Here!

Comments (1)

Scufita Rosie – varianta pentru ingineri

Credits go to andreib :-P

Comments (3)