¿Entrada de nombre de usuario oculto en los formularios de inicio de sesión?

En teoría, el profesor debería haber desconectado la computadora del proyector durante la clase. Cualquier número de cosas puede salir mal al escribir una contraseña que debe codificarse frente a una clase de estudiantes.

Daría la impresión de que el nombre de usuario debía mantenerse en secreto y haría que los usuarios pensaran que el nombre de usuario estaba altamente protegido por la aplicación en un grado similar al de la contraseña. Si su aplicación tiene una seguridad tan alta que ya estaría almacenando el nombre de usuario en forma de hash o de otra manera segura, la página de inicio de sesión también podría ocultar el nombre de usuario, pero puede haber problemas de uso:

1. Si el nombre de usuario fuera enmascarado, no habría autocompletado para ese campo, probablemente molestando a la gente en el tiempo adicional requerido para acceder a su cuenta.
2. Los usuarios pueden querer probar diferentes nombres de usuario para ver cuál funciona. Si no pueden verla y no pueden ver la contraseña, tendrán más dificultades para averiguar si escribieron el nombre de usuario incorrecto, la contraseña incorrecta o si el nombre de usuario (o correo electrónico) no fue el que se utilizó para registrarse. en primer lugar. Los usuarios pueden simplemente usar un editor de texto de antemano para asegurarse, pero ese tipo de derrotas tienen el propósito.
3. La posibilidad de errores tipográficos es mayor. Debido a que los usuarios no pueden ver el nombre de usuario, su posibilidad de cometer un error tipográfico es mayor, ya que pueden haber cometido un error en el nombre de usuario o en el campo de la contraseña.
4. No se advierte a los usuarios cuando está activado el bloqueo de mayúsculas (a menos que la aplicación intente hacerlo). Normalmente, pueden escribir su nombre de usuario y darse cuenta de que el bloqueo de mayúsculas está activado. Luego, lo apagan y reinician. Sin ver ninguno de los campos, no se darían cuenta de esto.

Esta es una muy buena pregunta. No es difícil imaginar a las personas que cometen errores al iniciar sesión en su cuenta a toda prisa, a veces pierden una Tabulación y terminaron de escribir (o, lo que es peor, enviar) su contraseña completa en el campo de nombre de usuario.

Es importante comprender que el objetivo del enmascaramiento de la contraseña es evitar hombro surfing . No evita que los kegloggers descubran su contraseña; tampoco impide que un MITM intercepte su contraseña en texto sin formato transmitido a través de un canal sin cifrar. Sin embargo, siempre es un buen hábito revisar su entorno antes de realizar una autenticación para minimizar su exposición al riesgo de navegar por los hombros. En los casos excepcionales en los que tenga que realizar una autenticación ante un público, se requiere cuidado especial .

Dicho esto, la implementación específica de la interfaz de inicio de sesión suele ser un equilibrio entre el riesgo y la facilidad de uso. Para las aplicaciones web móviles, ya hay algunos sitios web que hacen exactamente lo contrario, es decir, desenmascarando la contraseña durante el registro para mejorar la facilidad de uso.

En el caso de que su profesor inicie sesión en el sistema escolar, puede proporcionar un buen argumento para enmascarar el campo de nombre de usuario. Sin embargo, como se señala en Anónimo , existe una compensación en términos de usabilidad. Por lo tanto, realmente depende del desarrollador del sistema decidir si vale la pena que algunas personas descuidadas revelen las contraseñas haciendo que la interfaz de inicio de sesión sea menos útil para todos.

Una mejor opción es educar a todos los usuarios sobre la seguridad de la información básica , como no compartir la contraseña con otras cuentas. ¡Porque, todo el esfuerzo que se hace para mejorar la seguridad no es nada si el usuario final es imprudente y escribe su contraseña en una nota post-it y la pega en el monitor!