Între useability și stupidity

Am primit zilele trecute de la Meekuu un articol (apărut pe slashdot) care mi-a dat niște fiori reci pe șira spinării. Nu pentru că ar exista indivizi care consideră că înlocuirea parolelor cu steluțe este prea mult pentru capacitățile utilizatorilor obișnuiți. Ci pentru că respectivii sunt „experți” și „guru”, și încep să am sentimentul că opinia lor începe să devină majoritară.

Nu de alta, dar nu sunt decât câteva luni de când citeam un thread pe un forum românesc în care o altă serie de bizoni indivizi se plângeau că ei nu vor Internet Banking cu token, că le e greu să care tokenul după ei (un dispozitiv de mărimea a 2 cărți de credit, și de câteva zeci de grame – asta în condițiile în care par să nu aibă nici o problemă în a căra un laptop de 2 kile, ca să „intre pe internet banking doar de pe laptop-ul propriu”).

OK, recunosc că sunt somewhat of a „security geek”. Și că mă deranjează până și faptul că pe telefonul meu mobil apare în clar ultimul caracter al parolei (deși trebuie să recunosc că soluția respectivă e un compromis destul de bun între „steluțe” și „toată parola în clar”). Mă uimește totuși că inclusiv Bruce Schneier (unul din oamenii pe care chiar îi consider experți în securitate) pare să fie de acord cu soluția.

Cum nu pot să nu mă amestec în discuție, încerc să explic de ce eu în continuare consider soluția respectivă una neinspirată:

  1. Utilizatorii se împart în 2 categorii: tehnici, și non-tehnici. Soluția este destinată celor non-tehnici (tehnicii au parole lungi, complicate, și le ia mai puțin să scrie din nou parola decât să corecteze un typo în „MyV3ryC0mpl3xP@55w0rD” 😛 ). DAR! Persoanele non-tehnice în general nu sunt touch-typists, și cât scriu parola au ochii pe tastatură, nu pe ecran. Și atunci nu îi ajută foarte mult faptul că apare parola scrisă.
  2. Autorul spune „steluțele nu ajută, că un individ care stă lângă tine poate vedea ce scrii”. Așa am crezut și eu, până când (acum mulți ani) am întâlnit un individ care mi-a explicat că nu e chiar așa. Și la ora actuală sunt dispus să provoc pe oricine să stea lângă mine cât timp eu îmi scriu parola. De zece ori. El stând cu ochii în tastatură, fix pe mâinile mele. Dacă la final el știe parola, dau o bere. Sau zece!
  3. Continuând ideea de mai sus – dacă de citit pe tastatură e practic imposibil (cel puțin pentru un individ care scrie relativ repede), de citit (și reținut) ceva de pe ecran e incredibil de ușor. Acum câteva zile mă uitam la un CBTNugget. Și soft-ul demonstrat de individ era din categoria „parole în clar”. Deși parola respectivă a stat pe ecran sub o secundă (cât i-a luat lui să o scrie și să apese „enter”), am văzut-o, mi-a atras atenția, și ca urmare am reținut-o. Fără să dau filmul înapoi, și fără slow-motion. Era „Mtncl1mbr” (nu mai știu dacă era cu M mare sau mic, dar nu cred că asta e o problemă pentru cineva 😛 ). Ca urmare, mai fac un pariu – cine vrea, scrie parola lui cât de repede poate, în clar. Cu mine undeva în spatele lui. Sunt convins că din maxim 5 încercări știu destul din parolă cât să mă descurc la un login (un pic mai dificil cu parolele de tip „Tqbfj0tld!”, dar nu imposibil 🙂 )
  4. Majoritatea utilizatorilor au parole identice (sau foarte asemănătoare) pe mai multe servicii. Dacă una singură din parolele respective este compromisă, restul se duc prin efect de domino.

Și fix când voiam să spun „nu cred că a posibil ca o bancă având sistemul respectiv de <clear-text passwords> ar trece vreun audit de securitate, găsesc un comentariu interesant pe blog-ul lui Schneier: „I have worked as CISO in several banks and can confirm that shoulder surfing does take place. Consequently, I would ban any system that displays passwords in a shared office or in public.”

Înainte să îmi spuneți „dar noi nu vorbeam de bănci, ci doar de sisteme low-risk”, vă întreb – ce înseamnă „low-risk”? Parola de wireless (care se poate vedea în clar în Win7) înseamnă pentru mine ca administrator accesul unui atacator din parcare în rețeaua mea internă. Parola de login pe sistem este de multe ori parola de domeniu a utilizatorului, și permite un foarte frumos caz de identity-theft electronic între colegi (cu consecințe care pot fi din cele mai neplăcute – nu mai devreme de săptămânile trecute un coleg de facultate a ajuns aproape de exmatriculare printr-o astfel de situație). Adăugați ce spuneam mai sus despre parole similare pentru scopuri diferite, și veți înțelege de ce nu consider nici o parolă „neimportantă” (întrebați-l pe Meekuu ce-a pățit când a vrut parola de pe un sistem de-al meu 😛 )

Slightly OT: Autorul mai spune “Password masking has become common for no reasons other than (a) it’s easy to do, and (b) it was the default in the Web’s early days.”. O fi el expert în usability, dar aici e cam pe lângă. Mecanismele de „password hiding” există de pe vremea mainframe-urilor, fără nici o legătură cu „the Web’s early days”.

Așa că oameni buni, încetați cu argumente de genul „ăla chiar e expert, SIGUR are dreptate”!! Ați auzit de „argumentum ad verecundiam”? Dacă X e „expert”, nu înseamnă că nu poate da cu bâta-n baltă ocazional. Și experții sunt oameni, și orice om poate greși 😛

3 Comments »

  1. Tb Said,

    July 1, 2009 @ 16:44

    Augmentez la ce zici tu pe aici și votez pentru parole fără echo.
    De ce să știe cineva care aruncă un ochi pe ecran sau vreun virus care-mi face screenșoturi câte caractere are parola mea?
    Tu ai observat că în momentul de față nimeni nu se mai panichează în momentul în care un sistem este compromis?
    Sau gradul de panică este mai mic decât acum ceva ani. (Poate e doar o impresie)

  2. Life Tester Said,

    July 1, 2009 @ 22:45

    come on, this is the new useapidity standard, you failed us all (2+ readers)

    it makes sense to have the passwords in clear text, the haxors of yesterday are getting old and their eyesight most likely need correction nowadays.

    wasn’t easier to recommend OpenID?… “wha’? openwhat? that’s scary… I want it clear…”

  3. AlexJ Said,

    July 2, 2009 @ 15:40

    Cred că ar trebuie să existe multe servicii care să aibă sistemul de “you to have at least this IQ to ride”
    Acum 100 de ani când se inventa automobilul era o invenție foarte bună și nu cauza probleme pentru că nu toată lumea putea să îl folosească. Acum, când orice manelist are mașina lui, apar 234 e+32 probleme.
    Așa și cu Internetul și computerele… când erau în mâinile Univesităților, erau ceva cu standarde înalte…erau geeky :P…acum, când au ajuns la mase, evident că vor fi gang bang raped 😐
    “Only two things are infinite: the Universe and human stupidity…about the first one I’m not that sure”

RSS feed for comments on this post · TrackBack URI

Leave a Comment