Le 30 juin 2009 Aucun Commentaire30 June 2009 No Comment

Le 23 juin, Jakob Nielsen a posté un article en déclarant que le mot de passe masquant sur l'interface d'utilisateur est plus malfaisant du point de vue de l'utilité qu'utile à la sécurité d'une application auquel Bruce Schneier, dans un poste de blog du 26 juin concordé. Tous les deux ont soutenu que le fait de masquer les caractères quand un utilisateur entre un mot de passe a peu de valeur de sécurité et peut même être malfaisant pour l'utilité d'une application. Je crois personnellement qu'en affichant des entrées de mot de passe en clair le texte a des implications plus préjudiciables à la sécurité que la baisse de la difficulté de surf d'épaule.On June 23, Jakob Nielsen posted an article declaring that password masking on the user interface is more harmful in terms of usability than helpful to the security of an application to which Bruce Schneier, in a June 26 blog post agreed. Both argued that masking the characters when a user enters a password is of little security value and may even be harmful to the usability of an application. I personally believe that displaying password entries in clear text has more detrimental implications to security than lowering the difficulty of shoulder surfing.

Je conviens sans hésiter qu'un criminel aguerri concentrera ses/ses efforts surfant sur l'épaule sur le clavier d'un utilisateur que sur son/son écran. Pour un attaquant avec l'accès de côté du clavier, le mot de passe masquant a la valeur zéro de toute façon. Cependant, je crois que Bruce a minimisé la prédominance d'activités surfant sur l'épaule quotidiennes possibles tel qu'à condition qu'ELLE soutient à un utilisateur, en passant au poste de travail d'un collègue pour reconsidérer un document, en polissant une présentation pendant que sur un avion, ou le fait d'allumer un ordinateur pour les enfants qui n'ont pas le droit à l'accès non supervisé. Il vaut la peine aussi d'estimer qu'il peut y avoir des situations où il serait approprié de demander à votre copain de l'épaule actuel (le président-directeur général ou votre grand-mère, vous choisissez) pour regarder loin pendant que vous entrez un mot de passe.I readily agree that a seasoned criminal will focus his/her shoulder-surfing efforts on a user’s keyboard than on his/her screen. For an attacker with keyboard-side access, password masking has zero value anyway. However, I think Bruce underplayed the prevalence of possible daily shoulder-surfing activities such as providing IT support to a user, stopping by a colleague’s workstation to review a document, polishing a presentation while on an airplane, or turning on a computer for children who aren’t entitled to unsupervised access. It is also worth considering that there may be situations where it would be inappropriate to ask your current shoulder-buddy (the CEO or your grandmother, you choose) to look away while you enter a password.

Il y a quelques petits avantages de sécurité que ce mot de passe masquant offre vraiment. Par exemple, les attaquants inexpérimentés regarderont l'écran quand vous commencez à entrer votre mot de passe. Alors qu'ils réalisent leur faute, ils verront seulement *** et ont déjà manqué une bonne portion de votre mot de passe. (Avec un peu de chance, en sachant la fin de votre mot de passe ne les aidera pas à décoder le commencement.) le Mot de passe masquant aussi encourage des utilisateurs fréquents d'un service à apprendre par coeur leurs mots de passe. J'ai beaucoup de mots de passe que je ne pouvais pas vous dire peu importe comment dur j'ai essayé. Mes doigts les savent ou je peux savoir un mnémotechnique mais les frappes sont la seule chose que je retiens. Ce n'est pas comme utile pour les utilisateurs plus décontractés bien que.There are some small security advantages that password masking does offer. For example, unskilled attackers will be looking at the screen when you start entering your password. By the time they realize their mistake, they will only see *** and have already missed a good portion of your password. (Hopefully, knowing the end of your password won’t help them decode the beginning.) Password masking also encourages frequent users of a service to memorize their passwords. I have many passwords that I could not tell you no matter how hard I tried. My fingers know them or I may know a mnemonic but the keystrokes are the only thing I retain. This is not as helpful for more casual users though.

Mon objection principale au décès de mot de passe masquant est le message qu'il envoie aux utilisateurs décontractés. Nous entrons un cas "de font comme je dis pas comme je fais". Comment pouvons-nous demander à nos utilisateurs de protéger leurs rappels de mot de passe si le mot de passe entier semble clair comme le jour sur la chaque fois d'écran ils y entrent ? Le fait de masquer un mot de passe envoie le message à l'utilisateur qu'il est important qu'ils pas partagent leurs mots de passe, qu'ils ne devraient pas même montrer que ceux-ci à vous, en renforçant la doctrine "ne donnent jamais votre mot de passe". Dans beaucoup de cas, le fait de masquer décourage la duplication et le fait de coller des mots de passe bien que seulement par naïveté (voir ici pour un rire).My main objection to the demise of password masking is the message that it sends to casual users. We enter a case of do-as-I-say-not-as-I-do. How can we ask our users to secure their password reminders if the entire password appears clear as day on the screen every time they enter it? Masking a password sends the message to the user that it is important that they not share their passwords, that they should not even show these to you, reinforcing the never-give-out-your-password tenet. In many cases, masking discourages copying and pasting passwords though only through naïveté (see here for a laugh).

L'inquiétude d'utilité est valide effectivement. La question le devient, Où tirons-nous la ligne entre la sécurité et l'utilité ? À mon opinion, le fait de masquer est une couche valide de sécurité, bien que facilement fait une brèche, il lève vraiment des barrières à l'entrée même si seulement par une petite marge. Ces barrières sont plus grandes aussi pour l'utilisateur décontracté. Plus lentement un mot de passe est entré, plus de temps ce serait sur l'écran, si démasqué. Ce qui est plus important il envoie un message ferme aux utilisateurs que leurs mots de passe devraient être protégés.The usability concern is indeed valid. The question becomes this, Where do we draw the line between security and usability? In my opinion, masking is a valid layer of security, though easily breached, it does raise barriers to entry even if only by a small margin. These barriers are also larger for the casual user. The more slowly a password is entered, the more time it would be on the screen, if unmasked. More importantly, it sends a firm message to users that their passwords should be protected.

Aussi, n'oublions pas le principe de surprise minimale — combien de temps devriez-vous utiliser une application avant que vous remarquez que votre mot de passe est maintenant affiché sur l'écran en clair le texte ? Un compromis possible devrait fournir une option de configuration. Cependant, ce ne serait pas sympathique à un utilisateur décontracté qui en a besoin le plus. J'encourage des promoteurs d'application à dénicher d'autres logements d'utilité (par ex, les options de deux facteurs, biometrics) avant de démasquer globalement des mots de passe.Also, let’s not forget the principle of minimum astonishment—how many times would you have to use an application before you notice that your password is now being displayed on-screen in clear text? One possible compromise would be to provide a configuration option. However, this would not be friendly to a casual user who needs it most. I encourage application developers to seek out other usability accommodations (e.g., two-factor options, biometrics) before globally unmasking passwords.

Poste de : TrendLabs | le Blog de Malware - par la Tendance PetitePost from: TrendLabs | Malware Blog - by Trend Micro

À *** ou Ne pas Masquer : l'Utilité Contre la Sécurité dans le Mot de passe MasquantTo *** or Not to Mask: Usability Versus Security in Password Masking