Jakob Nielsen acaba de publicar un artículo "Stop Password Masking" donde recomienda que, desde el punto de vista de la usabilidad, no compensa ocultar las contraseñas cuando el usuario las introduce en la pantalla (típicas estrellas '*').

Si no fuera porque lo dice quien lo dice ya ni pararía a leerlo pero, como no podía ser de otra forma, nunca se le puede quitar la razón al padre de la usabilidad, aun que tal como está escrito parece que busca más un titular de escándalo que explicar de primeras la sugerencia. Empieza diciendo que no compensa la ocultación de contraseñas y luego argumenta como llega a esa conclusión. Y es entonces, al final, cuando podemos entender en que casos mostrar u ocultar la contraseña escrita por el usuario.

Según el artículo, ocultar la contraseña cuando se teclea es "desagradable" especialmente en dispositivos móviles (primer caso donde podría ser interesante). Implica dos problemas: a) los usuarios comenten más errores por no ver lo que teclean (¿cuantas veces llaman a soporte por tener las mayúsculas activadas?); b) la mayoría de los usuarios usarán claves simples o harán copiar-pegar, decrementando el nivel de seguridad.

¿Los costes que expone son más perjudiciales que tener al usuario pensando si le van a hurtar el secreto de su contraseña? Lo justifica con que también pueden estar vigilando las pulsaciones de teclado, pero pienso que es distinto, pues ya hay mala fe por parte del usurpador de secretos. También dice que así podrás obligar al usuario a usar contraseñas complejas y distintos para cada sitio... pero, digo yo que entonces si que vamos mal con el confort de la interfaz, ¿no?

Dándole un par de vueltas más, pienso que no compensa esta nueva idea, que ya disponemos de soluciones técnicas mucho más seguras y usables como pueden ser la identificación con smartcards o huella digital donde no hay ni que teclear. Y, sin necesidad de tanta seguridad, más barato y en los navegadores actuales, el almacenamiento de las contraseñas cubierto por otra contraseña maestra...

Desde luego, la propuesta es una idea pensada desde la postura más pura de la usabilidad, pero ¿quién va a ser el primer desarrollador web en atreverse a quitar las estrellas de los campos de introducción de contraseñas? Por mi parte, esperaré a que Nielsen convenza a más gente :)