¿Entrada de nombre de usuario oculto en los formularios de inicio de sesión?

4

No (necesariamente) un duplicado de: ¿Deben enmascararse el ID de usuario y la Contraseña para la banca en línea?
Definitivamente no es un duplicado de: ¿Deben mantenerse en secreto los nombres de usuario?

Puedo sentir su dedo en el botón "marcar como duplicado", así que antes de nada, permítame aclarar que para enmascarado no me refiero a secreto . Me refiero a enmascarado solo al insertar el nombre de usuario y la contraseña, y no por la razón obvia que usted esperaría (manteniéndolo en secreto).

Recuerdo que cuando estaba en la universidad, un profesor nuestro reveló su contraseña a todo el aula. Su computadora estaba conectada al proyector, y él estaba ingresando sus datos de inicio de sesión para acceder a una especie de área privada que contiene información protegida (bastante importante). Ingresó el nombre de usuario, pero luego, cuando ingresó la contraseña, la página se actualizó inesperadamente y terminó escribiendo la contraseña completamente desenmascarada en el campo de nombre de usuario.

Por supuesto, el nombre de usuario no estaba destinado a ser secreto, ya que era solo su conocida dirección de correo electrónico, pero, ya sabes, estaba usando esa contraseña para ... tipo de todo, incluido, por supuesto, que área restringida particular.

La conclusión es: según yo, cuando los usuarios ingresan información de inicio de sesión, deben estar en una "zona protegida", en términos de UI, donde pueden cometer cualquier error tonto sin que se revele su contraseña a las personas que observan. Después de este incidente, comencé a prestar atención a este problema y descubrí que incluso yo mismo cometí este error varias veces, especialmente al insertar datos de inicio de sesión SSH (porque quizás la tecla Intro era un poco descuidada), pero afortunadamente nadie estaba mirando .

Creo que el nombre de usuario, para público, también debería estar enmascarado, para proteger la contraseña .

    
pregunta gd1 14.03.2015 - 23:44
fuente

2 respuestas

1

En teoría, el profesor debería haber desconectado la computadora del proyector durante la clase. Cualquier número de cosas puede salir mal al escribir una contraseña que debe codificarse frente a una clase de estudiantes.

Daría la impresión de que el nombre de usuario debía mantenerse en secreto y haría que los usuarios pensaran que el nombre de usuario estaba altamente protegido por la aplicación en un grado similar al de la contraseña. Si su aplicación tiene una seguridad tan alta que ya estaría almacenando el nombre de usuario en forma de hash o de otra manera segura, la página de inicio de sesión también podría ocultar el nombre de usuario, pero puede haber problemas de uso:

  1. Si el nombre de usuario fuera enmascarado, no habría autocompletado para ese campo, probablemente molestando a la gente en el tiempo adicional requerido para acceder a su cuenta.
  2. Los usuarios pueden querer probar diferentes nombres de usuario para ver cuál funciona. Si no pueden verla y no pueden ver la contraseña, tendrán más dificultades para averiguar si escribieron el nombre de usuario incorrecto, la contraseña incorrecta o si el nombre de usuario (o correo electrónico) no fue el que se utilizó para registrarse. en primer lugar. Los usuarios pueden simplemente usar un editor de texto de antemano para asegurarse, pero ese tipo de derrotas tienen el propósito.
  3. La posibilidad de errores tipográficos es mayor. Debido a que los usuarios no pueden ver el nombre de usuario, su posibilidad de cometer un error tipográfico es mayor, ya que pueden haber cometido un error en el nombre de usuario o en el campo de la contraseña.
  4. No se advierte a los usuarios cuando está activado el bloqueo de mayúsculas (a menos que la aplicación intente hacerlo). Normalmente, pueden escribir su nombre de usuario y darse cuenta de que el bloqueo de mayúsculas está activado. Luego, lo apagan y reinician. Sin ver ninguno de los campos, no se darían cuenta de esto.
respondido por el Anonymous 15.03.2015 - 00:36
fuente
1

Esta es una muy buena pregunta. No es difícil imaginar a las personas que cometen errores al iniciar sesión en su cuenta a toda prisa, a veces pierden una Tabulación y terminaron de escribir (o, lo que es peor, enviar) su contraseña completa en el campo de nombre de usuario.

Es importante comprender que el objetivo del enmascaramiento de la contraseña es evitar hombro surfing . No evita que los kegloggers descubran su contraseña; tampoco impide que un MITM intercepte su contraseña en texto sin formato transmitido a través de un canal sin cifrar. Sin embargo, siempre es un buen hábito revisar su entorno antes de realizar una autenticación para minimizar su exposición al riesgo de navegar por los hombros. En los casos excepcionales en los que tenga que realizar una autenticación ante un público, se requiere cuidado especial .

Dicho esto, la implementación específica de la interfaz de inicio de sesión suele ser un equilibrio entre el riesgo y la facilidad de uso. Para las aplicaciones web móviles, ya hay algunos sitios web que hacen exactamente lo contrario, es decir, desenmascarando la contraseña durante el registro para mejorar la facilidad de uso.

En el caso de que su profesor inicie sesión en el sistema escolar, puede proporcionar un buen argumento para enmascarar el campo de nombre de usuario. Sin embargo, como se señala en Anónimo , existe una compensación en términos de usabilidad. Por lo tanto, realmente depende del desarrollador del sistema decidir si vale la pena que algunas personas descuidadas revelen las contraseñas haciendo que la interfaz de inicio de sesión sea menos útil para todos.

Una mejor opción es educar a todos los usuarios sobre la seguridad de la información básica , como no compartir la contraseña con otras cuentas. ¡Porque, todo el esfuerzo que se hace para mejorar la seguridad no es nada si el usuario final es imprudente y escribe su contraseña en una nota post-it y la pega en el monitor!

    
respondido por el Question Overflow 15.03.2015 - 06:04
fuente

Lea otras preguntas en las etiquetas