Am 30. Juni 2009 Keine Anmerkung 30 June 2009 No Comment

Am 23. Juni schlug Jakob Nielsen einen Artikel an erklärend, dass die Kennwort-Maskierung auf der Benutzerschnittstelle in Bezug auf die Brauchbarkeit schädlicher ist als nützlich der Sicherheit einer Anwendung auf der Bruce Schneier, in am 26. Juni blog abgestimmter Posten. Beide behaupteten, dass Maskierung der Charaktere, wenn ein Benutzer in ein Kennwort eingeht, von wenig Sicherheitswichtigkeit ist und sogar für die Brauchbarkeit einer Anwendung schädlich sein kann. Ich glaube persönlich, dass das Anzeigen von Kennwort-Einträgen im klaren Text schädlichere Implikationen zur Sicherheit hat als das Senken der Schwierigkeit des Schulter-Surfens.On June 23, Jakob Nielsen posted an article declaring that password masking on the user interface is more harmful in terms of usability than helpful to the security of an application to which Bruce Schneier, in a June 26 blog post agreed. Both argued that masking the characters when a user enters a password is of little security value and may even be harmful to the usability of an application. I personally believe that displaying password entries in clear text has more detrimental implications to security than lowering the difficulty of shoulder surfing.

Ich gebe sogleich zu, dass ein reifer Verbrecher seine/ihre Schulter surfenden Anstrengungen auf eine Tastatur eines Benutzers einstellen wird als auf dem his/her Schirm. Für einen Angreifer mit dem Zugang der Tastatur-Seite hat Kennwort-Maskierung Nullwert irgendwie. Jedoch denke ich, dass Bruce das Vorherrschen von möglichen täglichen Schulter surfenden Tätigkeiten wie Versorgung unterspielte, unterstützt ES einem Benutzer, ein Arbeitsplatz eines Kollegen kurz vorbeikommend, um ein Dokument nachzuprüfen, eine Präsentation polierend, während auf einem Flugzeug, oder dem Anmachen eines Computers für Kinder, die zum unbeaufsichtigten Zugang nicht berechtigt werden. Es ist auch das Betrachten wert, dass es Situationen geben kann, wo es unpassend sein würde, Ihren gegenwärtigen Schulter-Freund zu fragen (der CEO oder Ihre Großmutter, wählen Sie), weg zu schauen, während Sie in ein Kennwort eingehen.I readily agree that a seasoned criminal will focus his/her shoulder-surfing efforts on a user’s keyboard than on his/her screen. For an attacker with keyboard-side access, password masking has zero value anyway. However, I think Bruce underplayed the prevalence of possible daily shoulder-surfing activities such as providing IT support to a user, stopping by a colleague’s workstation to review a document, polishing a presentation while on an airplane, or turning on a computer for children who aren’t entitled to unsupervised access. It is also worth considering that there may be situations where it would be inappropriate to ask your current shoulder-buddy (the CEO or your grandmother, you choose) to look away while you enter a password.

Es gibt einige kleine Sicherheitsvorteile, die Kennwort-Maskierung wirklich anbietet. Zum Beispiel werden unerfahrene Angreifer auf den Schirm schauen, wenn Sie anfangen, in Ihr Kennwort einzugehen. Als sie ihren Fehler begreifen, werden sie nur *** sehen und haben bereits einen guten Teil Ihres Kennwortes verpasst. (Hoffentlich das Ende Ihres Kennwortes wird wissend, ihnen nicht helfen, den Anfang zu decodieren.) Kennwort, das auch maskiert, ermutigt häufige Benutzer eines Dienstes, sich ihre Kennwörter einzuprägen. Ich habe viele Kennwörter, die ich Ihnen nicht erzählen konnte, egal wie hart ich versuchte. Meine Finger wissen sie, oder ich kann einen mnemonischen wissen, aber die Anschläge sind das einzige Ding, das ich behalte. Das ist nicht als nützlich für zufälligere Benutzer dennoch.There are some small security advantages that password masking does offer. For example, unskilled attackers will be looking at the screen when you start entering your password. By the time they realize their mistake, they will only see *** and have already missed a good portion of your password. (Hopefully, knowing the end of your password won’t help them decode the beginning.) Password masking also encourages frequent users of a service to memorize their passwords. I have many passwords that I could not tell you no matter how hard I tried. My fingers know them or I may know a mnemonic but the keystrokes are the only thing I retain. This is not as helpful for more casual users though.

Mein Haupteinwand gegen die Besitzübertragung der Kennwort-Maskierung ist die Nachricht, dass es an zufällige Benutzer sendet. Wir gehen herein ein Fall "tun, wie ich nicht sage, wie ich tue". Wie können wir unsere Benutzer bitten, ihre Kennwort-Gedächtnishilfen zu sichern, wenn das komplette Kennwort klar als Tag auf dem Schirm jedes Mal scheint, wenn sie darin eingehen? Maskierung eines Kennwortes sendet die Nachricht an den Benutzer, dass es wichtig ist, dass sie nicht ihre Kennwörter teilen, dass sie nicht sogar zeigen sollten, dass diese zu Ihnen, die Doktrin verstärkend, "nie Ihr Kennwort ausgeben". In vielen Fällen entmutigt Maskierung das Kopieren und Aufkleben von Kennwörtern obwohl nur durch die Arglosigkeit (sieh hier für ein Lachen).My main objection to the demise of password masking is the message that it sends to casual users. We enter a case of do-as-I-say-not-as-I-do. How can we ask our users to secure their password reminders if the entire password appears clear as day on the screen every time they enter it? Masking a password sends the message to the user that it is important that they not share their passwords, that they should not even show these to you, reinforcing the never-give-out-your-password tenet. In many cases, masking discourages copying and pasting passwords though only through naïveté (see here for a laugh).

Die Brauchbarkeitssorge ist tatsächlich gültig. Die Frage wird das, Wo ziehen wir die Linie zwischen Sicherheit und Brauchbarkeit? Nach meiner Meinung ist Maskierung eine gültige Schicht der Sicherheit, obwohl leicht durchgebrochen, es erhebt wirklich Barrieren für den Zugang selbst wenn nur durch einen kleinen Rand. Diese Barrieren sind auch für den zufälligen Benutzer größer. Je langsamer in ein Kennwort eingegangen wird, desto mehr Zeit es auf dem Schirm, wenn demaskiert, sein würde. Noch wichtiger es sendet eine feste Nachricht an Benutzer, dass ihre Kennwörter geschützt werden sollten.The usability concern is indeed valid. The question becomes this, Where do we draw the line between security and usability? In my opinion, masking is a valid layer of security, though easily breached, it does raise barriers to entry even if only by a small margin. These barriers are also larger for the casual user. The more slowly a password is entered, the more time it would be on the screen, if unmasked. More importantly, it sends a firm message to users that their passwords should be protected.

Wollen außerdem wir den Grundsatz des minimalen Erstaunens nicht vergessen - wie oft würden Sie eine Anwendung verwenden müssen, bevor Sie bemerken, dass Ihr Kennwort jetzt Bildschirm-im klaren Text gezeigt wird? Ein möglicher Kompromiss würde eine Konfigurationsauswahl zur Verfügung stellen sollen. Jedoch würde das einem zufälligen Benutzer nicht freundlich sein, der es am meisten braucht. Ich ermuntere Anwendungsentwickler dazu, andere Brauchbarkeitsanpassungen (z.B, Zwei-Faktoren-Optionen, Biometrie) vor sich allgemein demaskierenden Kennwörtern herauszufinden.Also, let’s not forget the principle of minimum astonishment—how many times would you have to use an application before you notice that your password is now being displayed on-screen in clear text? One possible compromise would be to provide a configuration option. However, this would not be friendly to a casual user who needs it most. I encourage application developers to seek out other usability accommodations (e.g., two-factor options, biometrics) before globally unmasking passwords.

Posten von: TrendLabs | Malware Blog - durch die Mikro-TendenzPost from: TrendLabs | Malware Blog - by Trend Micro

Zu *** oder Nicht zur Maske: Brauchbarkeit Gegen die Sicherheit in der Kennwort-MaskierungTo *** or Not to Mask: Usability Versus Security in Password Masking