¿Por qué las pantallas de creación / inicio de sesión de contraseña ocultan la contraseña escrita?

22

Me doy cuenta de que el concepto detrás de ocultar una contraseña en una pantalla es evitar que alguien "navegue" por detrás de un usuario y vea la contraseña escrita. Como un mecanógrafo bastante bueno, no tengo problemas para lidiar con esto, pero esto causa mucho dolor para las personas que conozco que son mecanógrafos muy lentos (Tira de Dilbert) .

¿No podemos simplemente asumir que las personas que ingresan una contraseña están verificando si alguien está tratando de mirar su pantalla antes de ingresar una contraseña? ¿O hay alguna otra razón para ocultar una contraseña de pantalla?

    
pregunta Mark Ripley 02.06.2016 - 13:41
fuente

3 respuestas

38

La protección principal provista por el enmascaramiento de contraseña es contra la navegación por los hombros, como usted sugiere. La velocidad de escritura es un factor, pero la realidad es que las pantallas también pueden ser capturadas por dispositivos de grabación de video (lo que expone las contraseñas a las que se escriben en los teléfonos móviles, donde cada personaje es visible durante unos pocos cientos de milisegundos antes de ser enmascarado). Como no se conoce el entorno exacto alrededor de un usuario, tiene sentido tener una vista enmascarada predeterminada, con una opción de vista previa como lo sugiere @ William Mariager . Esto también es cierto en el caso de pantallas compartidas, proyectores ... Algunos programas maliciosos simplistas realizan capturas de pantalla de imagen / video periódicas, que también se defienden mediante el enmascaramiento de contraseñas.

Por lo tanto, no podemos asumir que las personas siempre pueden verificar si su pantalla está oculta.

Pero, otra razón para hacer esto ahora es histórica: los usuarios ahora están tan acostumbrados a ver contraseñas enmascaradas que los sitios web que usan contraseñas no enmascaradas son percibidos como inseguros. ( Fuente ). El enmascaramiento también informa a todos usuarios que la información que se ingresa es confidencial.

Lea también: Schneier sobre el enmascaramiento de contraseñas

Estudios que argumentan contra el enmascaramiento de la contraseña: [ 1 ] [2 ]

    
respondido por el Jedi 02.06.2016 - 14:20
fuente
21
  

¿No podemos simplemente suponer que las personas que ingresan una contraseña están verificando si alguien está tratando de mirar su pantalla antes de ingresar una contraseña?

En mayo de 2008, Schneier citó un trabajo de investigación Prometiendo reflexiones o cómo leer monitores LCD a la vuelta de la esquina que afirman:

  

Todo lo que necesitó fue un telescopio de $ 500 entrenado en un objeto reflectante frente al monitor. Por ejemplo, una tetera produjo imágenes legibles de documentos de Word de 12 puntos desde una distancia de 5 metros (16 pies). A partir de 10 metros, pudieron leer fuentes de 18 puntos. Con un telescopio Dobson de $ 27,500, podrían obtener la misma calidad de imágenes a 30 metros.

8 años después, con el aumento de la resolución de la cámara y la calidad de la pantalla, no se puede asumir que ningún entorno sea seguro simplemente porque no hay presencia humana.

    
respondido por el techraf 02.06.2016 - 14:36
fuente
6
  

¿No podemos simplemente suponer que las personas que ingresan una contraseña están verificando si alguien está tratando de mirar su pantalla antes de ingresar una contraseña?

No es tan simple, por varias razones.

Es posible que se encuentre en una ubicación pública, donde haya demasiadas personas para monitorear. No olvides que no tienes ojos en la parte posterior de la cabeza.

Puede estar en presencia de personas en las que no confía, pero por razones sociales no quiere, o se supone que no debe hacerlo, actuar desconfiando al exterior (como cubrir la pantalla con la mano o pedirles que lo hagan). Giro de vuelta). Incluso pueden ser amigos cercanos, familiares o compañeros de trabajo, o personas con las que está conversando. No siempre es conveniente reubicarse.

Es posible que esté en presencia de personas con buena visión y memoria, que accidentalmente pueden ver partes de su contraseña.

Entonces no, puede que no te fijes en todos los que pueden mirar tu pantalla. No, puede que no sepan si están mirando o no. No, es posible que no estés en una posición social para evitar que miren. Y no, no es solo de los "malos actores" de los que tiene que preocuparse, cualquiera puede echarle un vistazo por error. Por lo tanto, es conveniente que el valor predeterminado sea seguro contra el surf de hombro. Puede ser agradable cuando un programa te da la opción de mostrar la contraseña de manera visual, pero todas las funciones requieren trabajo para implementarse. Es importante tener, como mínimo, el modo en el que la contraseña es invisible. Y es mejor tener eso como predeterminado.

    
respondido por el Dan Getz 02.06.2016 - 19:56
fuente

Lea otras preguntas en las etiquetas