El sitio puede seguir las instrucciones del artículo " Detener el enmascaramiento de contraseña ", publicado por Jakob Nielsen el 23 de junio de 2009.
Resumen: La usabilidad sufre cuando los usuarios ingresan contraseñas y la única información que obtienen es una fila de viñetas. Normalmente, el enmascaramiento de las contraseñas no aumenta la seguridad, pero le cuesta a la empresa debido a fallas en el inicio de sesión.
El enmascaramiento de contraseñas aborda el ataque de navegación por el hombro a un costo sustancial de uso, especialmente entre usuarios no técnicos que no usan un administrador de contraseñas. Es posible que el sitio haya sopesado el riesgo de navegar por los hombros en comparación con otros ataques a las credenciales de los usuarios y haya considerado que no vale la pena perder la usabilidad. He visto algunos otros sitios que utilizan un control de JavaScript para alternar el atributo type
del campo de la contraseña entre "password"
y "text"
, lo que permite al usuario hacer su propia compensación entre la usabilidad y la seguridad frente a la navegación de hombro.
El sitio en cuestión se describe como no bastante siguiendo este consejo. Quizás los ingenieros siguieron este consejo, pero luego la gerencia solicitó que se cambiara. O quizás intentaron emular el comportamiento de los dispositivos móviles que muestran brevemente el último carácter ingresado en los campos de contraseña.