Jakob Nielsen acaba de publicar un artículo "Stop Password Masking" donde recomienda que, desde el punto de vista de la usabilidad, no compensa ocultar las contraseñas cuando el usuario las introduce en la pantalla (típicas estrellas '*').
Si no fuera porque lo dice quien lo dice ya ni pararía a leerlo pero, como no podía ser de otra forma, nunca se le puede quitar la razón al padre de la usabilidad, aun que tal como está escrito parece que busca más un titular de escándalo que explicar de primeras la sugerencia. Empieza diciendo que no compensa la ocultación de contraseñas y luego argumenta como llega a esa conclusión. Y es entonces, al final, cuando podemos entender en que casos mostrar u ocultar la contraseña escrita por el usuario.
Según el artículo, ocultar la contraseña cuando se teclea es "desagradable" especialmente en dispositivos móviles (primer caso donde podría ser interesante). Implica dos problemas: a) los usuarios comenten más errores por no ver lo que teclean (¿cuantas veces llaman a soporte por tener las mayúsculas activadas?); b) la mayoría de los usuarios usarán claves simples o harán copiar-pegar, decrementando el nivel de seguridad.
¿Los costes que expone son más perjudiciales que tener al usuario pensando si le van a hurtar el secreto de su contraseña? Lo justifica con que también pueden estar vigilando las pulsaciones de teclado, pero pienso que es distinto, pues ya hay mala fe por parte del usurpador de secretos. También dice que así podrás obligar al usuario a usar contraseñas complejas y distintos para cada sitio... pero, digo yo que entonces si que vamos mal con el confort de la interfaz, ¿no?
Dándole un par de vueltas más, pienso que no compensa esta nueva idea, que ya disponemos de soluciones técnicas mucho más seguras y usables como pueden ser la identificación con smartcards o huella digital donde no hay ni que teclear. Y, sin necesidad de tanta seguridad, más barato y en los navegadores actuales, el almacenamiento de las contraseñas cubierto por otra contraseña maestra...
Desde luego, la propuesta es una idea pensada desde la postura más pura de la usabilidad, pero ¿quién va a ser el primer desarrollador web en atreverse a quitar las estrellas de los campos de introducción de contraseñas? Por mi parte, esperaré a que Nielsen convenza a más gente :)
Saludos.
Los dispositivos móviles suelen enseñar la última letra tecleada durante unos instantes para evitar errores. Hay que fijarse.
Hay otros sistemas, como la consola de Linux, donde ni siquiera ves asteriscos cuando tecleas la contraseña. Esto implica que si alguien mira tu pantalla ni siquiera se hace una idea de la longitud de la contraseña.
Por regla general, frente a la tecnología el humano puede adoptar dos posturas extremas (y todas las intermedias que quieras imaginar): o la tecnología se simplifica hasta para el más torpe o los usuarios aprendemos lo más posible de esa tecnología.
Por mi parte, siempre votaré por aprender. Porque eso te hace libre, te evita agujeros de seguridad y te aporta mayor comprensión de lo que estás haciendo.
Si sabes de mecánica de automóviles, tan sólo un poco, no te estafarán cuando lleves tu coche diesel al taller y te digan que lo que falla es el carburador... Esto lo he vivido en primera persona: no coló.
Aprenderse las contraseñas y utilizar una distinta en cada sitio es profiláctico contra el Alzheimer.
Y ya tenemos una edad para que nos digan que nos van a facilitar las cosas quitando seguridad al tecleo de una contraseña.
Enviar un comentario nuevo