El 30 de junio de 2009 Ningún Comentario 30 June 2009 No Comment

El 23 de junio, Jakob Nielsen fijó un artículo declarando que el enmascaramiento de contraseña en el interfaz de usuario es más dañino en términos de utilidad que provechoso para la seguridad de una aplicación a cual Bruce Schneier, en una entrada de bitácora del 26 de junio concordada. Ambos sostuvieron que el enmascaramiento de los caracteres cuando un usuario entra en una contraseña es de poco valor de seguridad y puede ser hasta dañino a la utilidad de una aplicación. Personalmente creo que la demostración de entradas de contraseña en el texto claro tiene implicaciones más perjudiciales a la seguridad que la bajada de la dificultad del surf de hombro.On June 23, Jakob Nielsen posted an article declaring that password masking on the user interface is more harmful in terms of usability than helpful to the security of an application to which Bruce Schneier, in a June 26 blog post agreed. Both argued that masking the characters when a user enters a password is of little security value and may even be harmful to the usability of an application. I personally believe that displaying password entries in clear text has more detrimental implications to security than lowering the difficulty of shoulder surfing.

Fácilmente estoy de acuerdo que un criminal sazonado enfocará sus/sus esfuerzos que hacen surf el hombro en el teclado de un usuario que en su/su pantalla. Para un atacante con el acceso de lado del teclado, el enmascaramiento de contraseña tiene el valor cero de todos modos. Sin embargo, creo que Bruce minimizó el predominio de actividades diarias posibles que hacen surf el hombro, como el suministro ESTO apoya a un usuario, pasando por la estación de trabajo de un colega para examinar un documento, puliendo una presentación mientras en un aeroplano, o conexión de un ordenador para niños que no tienen derecho al acceso no supervisado. Esto también vale la pena considerar que pueden haber situaciones donde sería inoportuno preguntar a su compañero del hombro corriente (el presidente o su abuela, usted elige) mirar lejos mientras usted entra en una contraseña.I readily agree that a seasoned criminal will focus his/her shoulder-surfing efforts on a user’s keyboard than on his/her screen. For an attacker with keyboard-side access, password masking has zero value anyway. However, I think Bruce underplayed the prevalence of possible daily shoulder-surfing activities such as providing IT support to a user, stopping by a colleague’s workstation to review a document, polishing a presentation while on an airplane, or turning on a computer for children who aren’t entitled to unsupervised access. It is also worth considering that there may be situations where it would be inappropriate to ask your current shoulder-buddy (the CEO or your grandmother, you choose) to look away while you enter a password.

Hay algunas pequeñas ventajas de seguridad que aquel enmascaramiento de contraseña realmente ofrece. Por ejemplo, los atacantes no cualificados mirarán la pantalla cuando usted comienza a entrar en su contraseña. Cuando ellos realizan su error, ellos sólo verán *** y han perdido ya una parte buena de su contraseña. (Esperamos que sabiendo el final de su contraseña no les ayudará a descifrar el principio.) La contraseña que enmascara también anima a usuarios frecuentes de un servicio a memorizar sus contraseñas. Tengo muchas contraseñas que yo no podía decirle no importa como con fuerza intenté. Mis dedos los saben o puedo saber una frase mnemotécnica pero las pulsaciones son la única cosa que retengo. Esto no es como provechoso para usuarios más ocasionales aunque.There are some small security advantages that password masking does offer. For example, unskilled attackers will be looking at the screen when you start entering your password. By the time they realize their mistake, they will only see *** and have already missed a good portion of your password. (Hopefully, knowing the end of your password won’t help them decode the beginning.) Password masking also encourages frequent users of a service to memorize their passwords. I have many passwords that I could not tell you no matter how hard I tried. My fingers know them or I may know a mnemonic but the keystrokes are the only thing I retain. This is not as helpful for more casual users though.

Mi objeción principal del fallecimiento del enmascaramiento de contraseña es el mensaje que esto envía a usuarios ocasionales. Entramos un caso de "hacen como digo no como hago". ¿Cómo podemos pedir a nuestros usuarios asegurar sus recordatorios de contraseña si la contraseña entera parece clara como el día en la pantalla cada vez ellos entran en ello? El enmascaramiento de una contraseña envía el mensaje al usuario que es importante que ellos no compartan sus contraseñas, que ellos no deberían mostrar hasta que éstos a usted, reforzando el principio "nunca presentan su contraseña". En muchos casos, el enmascaramiento desalienta la copia y pegar contraseñas aunque sólo por el candor (ver aquí para una risa).My main objection to the demise of password masking is the message that it sends to casual users. We enter a case of do-as-I-say-not-as-I-do. How can we ask our users to secure their password reminders if the entire password appears clear as day on the screen every time they enter it? Masking a password sends the message to the user that it is important that they not share their passwords, that they should not even show these to you, reinforcing the never-give-out-your-password tenet. In many cases, masking discourages copying and pasting passwords though only through naïveté (see here for a laugh).

La preocupación de utilidad en efecto es válida. ¿La pregunta se hace esto, Dónde dibujamos la línea entre seguridad y utilidad? En mi opinión, el enmascaramiento es una capa válida de la seguridad, aunque fácilmente violado, esto realmente levanta barreras a la entrada aun si sólo por un pequeño margen. Estas barreras también son más grandes para el usuario ocasional. Más despacio una contraseña es entrada, más tiempo estaría en la pantalla, de ser desenmascarada. Lo que es más importante esto envía un mensaje firme a usuarios que sus contraseñas deberían ser protegidas.The usability concern is indeed valid. The question becomes this, Where do we draw the line between security and usability? In my opinion, masking is a valid layer of security, though easily breached, it does raise barriers to entry even if only by a small margin. These barriers are also larger for the casual user. The more slowly a password is entered, the more time it would be on the screen, if unmasked. More importantly, it sends a firm message to users that their passwords should be protected.

¿También, vaya no olvidan el principio del asombro mínimo — cuántas veces tendría que usted usar una aplicación antes de que usted note que su contraseña está siendo mostrada ahora en pantalla en el texto claro? Un compromiso posible debería proporcionar una opción de configuración. Sin embargo, esto no sería amable con un usuario ocasional que lo necesita el más. Animo a desarrolladores de aplicaciones a buscar otros alojamientos de utilidad (p.ej, opciones de dos factores, biometrics) antes de desenmascarar globalmente contraseñas.Also, let’s not forget the principle of minimum astonishment—how many times would you have to use an application before you notice that your password is now being displayed on-screen in clear text? One possible compromise would be to provide a configuration option. However, this would not be friendly to a casual user who needs it most. I encourage application developers to seek out other usability accommodations (e.g., two-factor options, biometrics) before globally unmasking passwords.

Correo de: TrendLabs | Blog de Malware - por Tendencia MicroPost from: TrendLabs | Malware Blog - by Trend Micro

A *** o No a Máscara: Utilidad Contra Seguridad en Enmascaramiento de ContraseñaTo *** or Not to Mask: Usability Versus Security in Password Masking