• Il dilemma del Password Masking

    password_masking.jpg

    Un nuovo dibattito anima le menti degli esperti: il password masking.

    Per password masking si intende la pratica di sostituire i caratteri digitati durante l’inserimento della password su un sito Web (o in una applicazione) con pallini neri.

    La domanda che oggi ci si pone è: questa tecnica aumenta il livello di sicurezza? Oppure è al contrario dannosa perché insicura e addirittura causa un “costo” superiore?

    La discussione nasce da un articolo di Jakob Nielsen, ripreso poi da Bruce Schneier e dal blog Download Squad.

    La tecnica del password masking nasce per evitare che qualcuno, alle spalle dell’utente, veda la password in chiaro. Ma, dice Nielsen, questo può essere ovviato: è sufficiente guardare la tastiera e vedere quali tasti vengono digitati. Inoltre, si interroga: quante volte abbiamo una persona alle nostre spalle mentre accediamo ad un sito protetto?

    La teoria di Nielsen è che il password masking non aumenta la sicurezza, anzi, a causa dell’errato inserimento della password, costituisce un costo e un danno per il “business” associato. La critica di Nielsen si basa su due punti.

    Il primo: l’utente, non vedendo ciò che digita, commette più facilmente un errore e si sente meno confidente. Da questo si hanno almeno due conseguenze negative: un calo del business (es.: l’utente non può accedere a un determinato sito Web) e un aumento delle chiamate al supporto.

    Secondo aspetto critico, in parte conseguenza del primo descritto sopra, è che gli utenti tendono a scegliere password semplici (per evitare di sbagliare) oppure fanno un semplice copia&incolla da un file di testo con le password in chiaro. Tutto ciò a discapito della sicurezza.

    Voi cosa ne pensate? È meglio mascherare la password oppure lasciarla in chiaro?

    Se vuoi aggiornamenti su Il dilemma del Password Masking inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Mattia dice:

      Secondo me, è meglio mantenerlo perché è un’abitudine per gli utenti che con un colpo d’occhio capiscono che devono inserire una password.

    2. Le osservazioni non sono sicuramente prive di fondamento.
      Ma come dice Mattia gli utenti ormai si sono abituati a vedere i classici campi “password”.
      Inoltre quale sarebbe la soluzione proposta? Lasciare in chiaro?! Nn mi sembra certo una gran cosa.
      Buona invece l’idea che sta alla base di Roboform e compagnia bella.
      Per l’utente normale già Keypass è un ottima soluzione: almeno si evita il classico copia incolla da file di testo in chiaro :D

    3. blackcode dice:

      Concordo cone Massimo Rabbi, prima di dire “mascherare le password è dannoso” si pensi quanto lo sarebbe se non fossero maskate :)

    4. Ratamusa dice:

      Nielsen, ‘stavolta ha detto un sacco di stupidaggini. Capita anche a lui, ogni tanto….

    Commenta

    Your email address will not be published. Required fields are marked *