30 июня 2009 Никакой Комментарий30 June 2009 No Comment

23 июня, Джекоб Нилсен отправил статью, объявляя, что маскировка пароля на пользовательском интерфейсе более вредна с точки зрения удобства и простоты использования чем полезный для безопасности заявления к который Брюс Шнеир, в согласованном сообщении в блоге 26 июня. Оба утверждали, что маскировка характеров, когда пользователь входит в пароль, имеет небольшую ценность безопасности и может даже быть вредной для удобства и простоты использования заявления. Я лично полагаю, что у показа записей пароля в ясном тексте есть более вредные значения к безопасности чем понижение трудности серфинга плеча.On June 23, Jakob Nielsen posted an article declaring that password masking on the user interface is more harmful in terms of usability than helpful to the security of an application to which Bruce Schneier, in a June 26 blog post agreed. Both argued that masking the characters when a user enters a password is of little security value and may even be harmful to the usability of an application. I personally believe that displaying password entries in clear text has more detrimental implications to security than lowering the difficulty of shoulder surfing.

Я с готовностью соглашаюсь, что закаленный преступник сосредоточит его/ее занимающиеся серфингом плечо усилия на клавиатуре пользователя чем на его/ее экране. Для нападавшего с доступом стороны клавиатуры у маскировки пароля есть нулевая ценность так или иначе. Однако, я думаю, что Брюс приуменьшал распространенность возможных ежедневных занимающихся серфингом плечо действий такой как, если ОНА поддерживает пользователю, заходя автоматизированное рабочее место коллеги, чтобы рассмотреть документ, полируя представление, в то время как на самолете, или включении компьютера для детей, которые не наделены правом на неконтролируемый доступ. Это также стоит полагать, что могут быть ситуации, где было бы неуместно спросить Вашего текущего приятеля плеча (президент или Ваша бабушка, Вы выбираете), чтобы отвести взгляд, в то время как Вы входите в пароль.I readily agree that a seasoned criminal will focus his/her shoulder-surfing efforts on a user’s keyboard than on his/her screen. For an attacker with keyboard-side access, password masking has zero value anyway. However, I think Bruce underplayed the prevalence of possible daily shoulder-surfing activities such as providing IT support to a user, stopping by a colleague’s workstation to review a document, polishing a presentation while on an airplane, or turning on a computer for children who aren’t entitled to unsupervised access. It is also worth considering that there may be situations where it would be inappropriate to ask your current shoulder-buddy (the CEO or your grandmother, you choose) to look away while you enter a password.

Есть некоторые маленькие преимущества безопасности, которые действительно предлагает та маскировка пароля. Например, нападавшие низкой квалификации будут смотреть на экран, когда Вы начнете входить в свой пароль. К тому времени, когда они понимают свою ошибку, они будут только видеть *** и уже пропустили хорошую часть Вашего пароля. (Хотелось бы надеяться, зная конец Вашего пароля не будет помогать им расшифровать начало.) Пароль, маскирующий также, поощряет частых пользователей обслуживания запоминать свои пароли. У меня есть много паролей, которые я не мог сказать Вам независимо от того, как трудно я попробовал. Мои пальцы знают их, или я могу знать мнемосхему, но нажатия клавиши - единственная вещь, которую я сохраняю. Это не столь полезно для более случайных пользователей все же.There are some small security advantages that password masking does offer. For example, unskilled attackers will be looking at the screen when you start entering your password. By the time they realize their mistake, they will only see *** and have already missed a good portion of your password. (Hopefully, knowing the end of your password won’t help them decode the beginning.) Password masking also encourages frequent users of a service to memorize their passwords. I have many passwords that I could not tell you no matter how hard I tried. My fingers know them or I may know a mnemonic but the keystrokes are the only thing I retain. This is not as helpful for more casual users though.

Мое главное возражение на упадок маскировки пароля - сообщение, что это посылает случайным пользователям. Мы вступаем, случай "делают, поскольку я говорю не, поскольку я делаю". Как мы можем попросить, чтобы наши пользователи обеспечили свои напоминания пароля, если весь пароль кажется ясным как день на экране каждый раз, когда они входят в это? Маскировка пароля посылает сообщение пользователю, что важно, что они не разделяют свои пароли, что они не должны даже показать, что они Вам, укрепляя принцип "никогда не дают Ваш пароль". Во многих случаях, маскировка препятствует копированию и приклеиванию паролей хотя только через naïveté (см. здесь для смеха).My main objection to the demise of password masking is the message that it sends to casual users. We enter a case of do-as-I-say-not-as-I-do. How can we ask our users to secure their password reminders if the entire password appears clear as day on the screen every time they enter it? Masking a password sends the message to the user that it is important that they not share their passwords, that they should not even show these to you, reinforcing the never-give-out-your-password tenet. In many cases, masking discourages copying and pasting passwords though only through naïveté (see here for a laugh).

Беспокойство удобства и простоты использования действительно действительно. Вопрос становится этим, Где мы разграничиваем между безопасностью и удобством и простотой использования? По моему мнению маскировка - действительный слой безопасности, хотя легко нарушено, это действительно поднимает барьеры для доступа даже если только маленьким краем. Эти барьеры также больше для случайного пользователя. Чем более медленно пароль введен, тем больше времени это было бы на экране, если разоблачено. Что еще более важно это посылает устойчивое сообщение пользователям, что их пароли должны быть защищены.The usability concern is indeed valid. The question becomes this, Where do we draw the line between security and usability? In my opinion, masking is a valid layer of security, though easily breached, it does raise barriers to entry even if only by a small margin. These barriers are also larger for the casual user. The more slowly a password is entered, the more time it would be on the screen, if unmasked. More importantly, it sends a firm message to users that their passwords should be protected.

Кроме того, давайте не забывать принцип минимального удивления — сколько времен Вы должны были бы использовать заявление прежде, чем Вы заметите, что Ваш пароль теперь показывается на экране в ясном тексте? Один возможный компромисс должен был бы обеспечить выбор конфигурации. Однако, это не дружило бы случайному пользователю, который нуждается в этом больше всего. Я поощряю разработчиков приложений искать другие договоренности удобства и простоты использования (например, варианты с двумя факторами, биометрия) перед глобальным разоблачением паролей.Also, let’s not forget the principle of minimum astonishment—how many times would you have to use an application before you notice that your password is now being displayed on-screen in clear text? One possible compromise would be to provide a configuration option. However, this would not be friendly to a casual user who needs it most. I encourage application developers to seek out other usability accommodations (e.g., two-factor options, biometrics) before globally unmasking passwords.

Почта от: TrendLabs | Блог Malware - Микро ТенденциейPost from: TrendLabs | Malware Blog - by Trend Micro

К *** или Не Замаскировать: Удобство и простота использования Против Безопасности в Маскировке ПароляTo *** or Not to Mask: Usability Versus Security in Password Masking