Sicurezza o accessibilità, questo è il dilemma!
Siamo alle solite. In informatica ci sono più problemi che soluzioni. Sarebbe ora che la comunità scientifica trovi un accordo e proponga soluzioni condivise. Per esempio, uno degli obiettivi della sicurezza informatica è quello di tutelare la privacy ma è anche quello di evitare che si usi lo strumento informatico per compiere atti criminali.
Ebbene, recentemente Skype (il noto programma di comunicazione vocale su internet) è stato al centro di una accesa discussione : in pratica Skype usa un algoritmo crittografico proprietario, che permette agli utenti di poter comunicare in totale sicurezza e senza essere intercettati da altre persone. Quindi, se da un lato, Skype ha realizzato un prodotto robusto dal punto di vista della privacy, dall’altra parte le intelligence e le forze di polizia di diversi stati si sono lamentate perchè risultava difficile intercettare le comunicazioni “sporche” dei criminali. In definitiva si è trovato un accordo tra Skype e questi governi (non entro nei particolari che non ci interessano) però questo ci fa capire che spesso è difficile trovare soluzioni condivise e appetibili…
Un dilemma che adesso voglio approfondire, condividere e magari commentare con voi riguarda il dilemma accessibilità-sicurezza. Dalla newsletter dell’esperto di sicurezza Bruce Schneier, sono venuto a conoscenza che il guru mondiale dell’usabilità Jakob Nielsen ha criticato l’uso del mascheramento della password come soluzione al problema dello “shoulder surfing” (ovvero sbirciare la password da dietro). Insomma quello che generalmente facciamo in html per creare il campo password :
<input type="password" name="password" />
sarebbe non usabile e quindi anche non accessibile.
Subito si è innescata una polemica e uno scontro tra guelfi ( i seguaci dell’usabilità) e i ghibellini (seguaci della sicurezza). Vediamo quali sono le motivazioni portate dalle 2 fazioni:
I seguaci della sicurezza : “In un momento come questo, dove tutti usano i portatili e si diffonde la comunicazione senza fili, spesso ci si trova in luoghi pubblici o all’aperto. Quindi aumenta la probabilità che qualcuno si metta a sbirciare le password alle nostre spalle. Quindi il problema c’è, è reale ed è in continua crescita.”
I seguaci dell’usabilità: “L’utente spesso sbaglia a digitare la password perchè non ha il controllo visivo di ciò che scrive (problema di usabilità), oppure se ha problemi di vista, non può contare il numero di asterischi (o puntini, insomma il carattere di mascheramento usato – problema di accessibilità) che ha inserito… Inoltre il mascheramento della password induce gli utenti ad usare password più brevi per evitare di sbagliare…insomma una password in chiaro è più usabile e non crea rilevanti problemi di sicurezza…anzi può migliorare la sicurezza stessa.”
Bruce Schneier condivide alcune delle considerazioni fatte da Jakob Nielsen, ma aggiunge che il problema di sicurezza rimane lo stesso. Lui è convinto che la miglior soluzione adottabile sia quella di creare un campo password in cui ogni carattere immesso resti in chiaro per X millisecondi prima di essere mascherato. Questa soluzione, a mio avviso, è applicabile nelle GUI (interfacce grafiche) dei software desktop ma non applicabile per le autenticazioni web, dato che per realizzare un tale sistema si deve far uso di javascript o un linguaggio lato client, e noi sappiamo che javascript può essere disattivato e che un sito web per poter essere accessibile deve anche prevedere un’ alternativa ai controlli javascript.
Dunque ricapitolando : c’è un dilemma accessibilità-sicurezza aperto sul campo password. Ho descritto quali sono i dubbi sollevati da entrambe le fazioni…. Voi come vi regolate? Che ne pensate di questi dubbi? Avete soluzioni da proporre?
Add to Google
22 Commenti
bel dilemma…in effetti talvolta mi sono chiesta: ma a che serve che il campo password sia “a puntini”? cioè, sono io sola che sto davanti a questo pc, il problema si presenta per i pc con utenti multipli…mmmm
secondo me ci vorrebbe un js che modifica il comportamento: nel momento in cui la inserisci si dovrebbe poter leggere, mentre se la password viene ripresentata e richiamata dalla memoria grazie ai cookies deve essere “criptata”. questa potrebbe essere una soluzione, chissà se già implementabile dall’html5 senza bisogno di javascript
Il che la password sia non visibile non mi ha mai infastidito, non mi piacciono molto, e li trovo poco accessibili, i campi immagine per evitare lo spam, non so come si chiamino. Mi è capitato, pochi giorni fa, di dover accedere ad un forum, in cui si dovevano inserire 6 caratteri, e per ben 5 volte di fila li ho sbagliati perché il sistema mi proponeva continuamente immagini in cui erano visibili solo tre lettere. Ebbene, ho chiamato anche altre persone pensando che fossi io il rincoglionito, e non siamo riusciti a capire che lettere fossero. Al sesto tentativo (per altro dopo il terzo avevo già superato il numero massimo) si è poi presentata un immagine un po’ più nitida. A quel punto mi sono chiesto: Ma l’accessibilità dovè? va bene l’anti spam però…
Io in questo caso mi schiero con i seguaci della sicurezza, il web è già troppo insicuro così com’è adesso…
La soluzione del carattere in chiaro per un tot di millisecondi è applicata alla navigazione mobile (per lo meno sul nokia che uso io c’è) e secondo me l’unico modo per applicarla in modo accessibile (ovvero senza dover ricorrere javascript) potrebbe essere quello di renderlo un corportamento nativo del browser.
Tra le problematiche rilevate nell’articolo quella che mi sembra più seria è quella relativa agli ipovedenti, ma sinceramente vorrei vedere i risultati di qualche test.
Inoltre, ormai gli asterischi sono una convenzione e un utente che vedrebbe una password in chiaro secondo me inevitabilmente percepirebbe in sito come insicuro e non la inserirebbe mai, quindi anche un ipotetico cambiamento si tradurrebbe in un iter lungo e per niente semplice.
Mi schiero apertamente dalla parte di chi vuole la sicurezza. Non v’è dubbio che di questi tempi i furbi ci siano dappertutto, meglio evitare problemi. Io non mi vergogno, ma da dieci e più anni che lavoro nel settore non ho mai comprato nulla su portali tipo ebay per fare un esempio. Poi nei giorni scorsi per televisione han detto della cattura del famoso (italiano) ladro informatico che per anni ha fatto di tutto nel web…quindi.. Per quanto riguarda la password il mio cellulare ad esempio visualizza x un tot di millesimi il codice quando lo digito per poi passare ad asterisco..ma ripeto se si è all’aperto, meglio evitare rischi e ricordarsi. Punto e basta.
@Paolo: quello si chiama captcha ed io mi sono più volte schierata apertamente CONTRO: li odio, e oltretutto chi ha un vago problema di percezione o di daltonismo non riesce a riconoscere le lettere o i numeri. ma è un altro discorso.
se una persona guarda sulla tastiera le lettere della password che sta digitando, invece che sul form (come del resto fanno tutti quelli che non smanettano la tastiera dalla mattina alla sera) non dovrebbe avere troppo bisogno della visualizzazione. secondo me è importante, piuttosto, che il form venga “evidenziato” quando l’utente è pronto a digitare, così da non sbagliare e non scrivere, magari, su altri campi della pagina (o del browser!)
L’idea di Manuxxon sembra una buon compromesso. Rendere nativo sui browser il comportamento del campo password con il mascheramento a tempo è una strada percorribile.
Vediamo se riesco a proporre alcune soluzioni:
1) Campo password
Credo che l’utilizzo dei JS oramai sia una cosa normale nei siti attuali, quindi non ci sarebbe niente di strano ad utilizzarli; comunque resta sempre il problema nel caso in cui siano disattivati.
Partendo dalla situazione senza JS direi che, per la sicurezza, sia preferibile avere il campo password invece del campo text. A questo punto si potrebbe creare un JS che trasforma i campi password in campi password-usabili con la visualizzazione dell’ultimo carattere in chiaro per pochi secondi (come quelli presenti sull’iPhone o iPod).
2) Captcha
Effettivamente i captcha sono un po tediosi, ma ho visto che ci sono dei captcha che non chiedono di riscrivere i caratteri contenuti nell’immagine, ma di risolvere una semplice formula matematica (es: 2+2) e scrivere il risultati nel campo. Si potrebbe pensare di creare immagini con caratteri abbastanza grandi da non essere un problema per gli ipovedenti, e sarebbe anche di facile comprensione/compilazione visto che sono pochi caratteri
Temporaneamente…finchè i browser non renderanno nativo il mascheramento a tempo la 1) è una buona soluzione. Chi ha javascript usa il mascheramento a tempo e un campo text…se non hai javascript il codice deve produrre 1 campo password. Una buona idea , per ora.
La 2) è bocciata! vedi…è la stessa cosa che catturare una email dal codice html. Che ci vuole a fare 1 script, catturare i caratteri 2+2, fare la somma e inserire 4 ?
Quoto Matt. Basta solo avere un minimo di accortezza nella digitazione.
Farei un parallelo con il campo password a pallini che compare quando si prelevano i soldi al bancomat. Penso che sia le banche sia gli utenti preferiscano i pallini, anche se c’è il rischio che il bancomat ti mangi la carta dopo tre tentativi sbagliati. Dopo tutto, meglio questo piuttosto che quelli in fila dietro di me vedano le cifre del mio pin, anche se solo per pochi secondi. Idem sul portatile.
Va bene che porsi il problema dell’usabilità serve a migliorarci la vita, a rendere tutto fruibile e a prova di stupido. Ma sta volta (come altre volte) IMHO Jacob ha esagerato. C’è chi può avere reali problemi nella digitazione, che so, una mano tremante. Ma la sicurezza è più importante. E’ inutile che ci inventiamo chissà quali algoritmi di crittografia se facciamo vedere le password in chiaro. Questo a mio modestissimo parere.
@Giancarlo: Credo di non essermi spiegato bene
Intendevo un captcha che, invece delle solite frasi incomprensibili, generi un immagine con il “2+2″. In questo modo si avrebbe una “frase” di senso compiuto e di facile lettura.
@Mirko: ah…si ho riletto il tuo messaggio. Hai ragione. Ma anche in questo caso è sempre un captcha! Il fatto che 2+2 sia visibile tanto come un codice qualsiasi tipo AHSCERW dipende da come è costruito il captcha.
Puoi costruire il captcha senza aggiungere rumore e con caratteri cubitali…e vedere il codice che c’è all’interno benissimo, ma quando il sito viene visualizzato da un browser testuale, cosa si fa ?
Questo dello spam è un altro dilemma ancora non risolto. Spesso si usano i filtri che attraverso delle euristiche decidono cosa è spam e cosa non è spam…ma a volte sbagliano clamorosamente.
Sinceramente non vorrei che la parola usabilità divenga sinonimo di pigrizia. Io non mi metto di certo a contare i pallini quando digito una password. Sto attento a digitarla come si deve e basta.
Inoltre non mi faccio scoraggiare di certo dal non vedere cosa scrivo e le mie password le faccio belle lunghe e complicate; poi prendo il mio bel file e prendo nota (naturalmente non un file da desktop).
Lo so che non si sta parlando di come lo faccio io ma a mio modesto parere non mi sembra un così problematico… problema!
A voi la parola! Ciao!
Quoto anche io Matt.
Inoltre vorrei aggiungere una personale osservazione: il mondo delle password per come le conosciamo ora, sia per la tipologia che nei modi di inserimento, non avrà vita lunga; questo perchè esse iniziano a diventare inefficaci dal punto di vista della sicurezza (non possiamo chiedere agli utenti di allungarle sempre più, chiedendo loro particolari combinazioni di caratteri,…), e oltre a diventare quindi sempre più lunghe sono già diventate moltissime, anzi troppe (e non si può a questo punto chiedere all’utente di usare password diverse e per contro la stessa password su più siti aumenta la probabilità che questa venga scoperta…). E allora come si fa? Si passa ai nuovi sistemi di autenticazione, OpenID per cominciare, dopo di che smart card, token e/o autenticazioni biometriche. Si passerà ad un utilizzo regolare di queste tecnologie in meno che non si dica, quindi non darei molta importanza al discorso sicurezza vs. usabilità perchè è evidente che difficilmente si troveranno punti di incontro (l’unica idea che mi viene in mente in proposito forse è usare una tastiera virtuale con caratteri ben visibili…ad ogni modo nei box questi non vanno lasciati scoperti).Mi concentrerei invece su come integrare facilmente, per lo sviluppatore e per l’utente, nuovi metodi di autenticazione sul web poichè è lì che si andrà a finire seppellendo l’uso delle password tradizionali prima di quanto si possa pensare.
Per me le password avranno ancora vita lunga. Altri metodi di autenticazione se pur sicuri possono creare altri problemi. Pensiamo ad un sistema biometrico…. io per scrivere in un forum, memorizzerei per esempio la mia impronta digitale sul database di un server ? Neanche morto!!! A parte…che oggi una password prodotta magari con combinazioni di funzioni hash(md5,sha1, ecc)e un salt opportuno può occcupare pochi byte ed essere robusta lo stesso. I dati biometrici occuperebbero molto più spazio…ci sarebbe il problema di crittografare anche questi dati per ragioni di privacy..un dato biometrico è un dato personale molto + forte di una password che ricordiamoci può essere cambiata periodicamente…mentre il dato biometrico no (almeno che non si prevede un metodo crittografico con chiave modificale…e si ritornerebbe al discorso di prima!)
Lo stesso token…se non ricordo male quel sistema..che permette l’invio di un pin personale e temporaneo, che l’utente deve inserire in un casella e che consiste in una doppia autenticazione (possesso del dispositivo e del token) è comunque un sistema basato su password.
Per me la password non verrà mai sostituita…almeno sul web.
per gli homebanking esiste quel token di cui parli giancarlo. io ho infatti due codici fissi e quel token che crea un codice temporaneo con il quale accedere.
ma basta anche vedere cosa ha fatto la Regione Lombardia con la carta dei servizi: una tessera che vale anche come codice fiscale e libretto sanitario, che usi in farmacia, dal dottore e in teoria anche sul sito del comune per fare (ancora poche) operazioni. Ci vuole però un dispositivo usb con relativo driver, e ti assicuro, che ho provato, ma già io che sono esperta sono riuscita a malapena ad autenticarmi correttamente e controllare la mia situazione sanitaria, figurati se qualcuno ha dei problemi. In un futuro magari, ma ora come ora no. Per ora password docet
sui mobile la questione si pone? per quel che riguarda la mia eseprienza via iPhone, la soluzine a metà tra i “guelfi ” e i “ghibellini” è già disponibile.
Sicuramente il mio era uno sguardo volto al futuro. Di certo al momento persisteranno le password tradizionali, quello che io volevo sottolineare riguardo al cambiamento dei metodi di autenticazione non era tanto che avverrà in tempi rapidi quanto il modo repentino con cui succederà. Vi sono i token che richiedono sì una doppia autenticazione ma non è detto che la seconda debba consistere in una password tradizionale. Le smart card richiedono lettori usb o integrati che oggi si trovano sul mercato a pochi euro e presto si renderanno necessari per tutte le pratiche da risolversi con la pubblica amministrazione. In principio ovviamente non saranno procedure comode, ma un po’ lo diventeranno e un po’ ci adatteremo; sopratutto (e parlo in particolar modo delle PA) se sarà un accorgimento che ci farà risparmiare tempo e denaro. Con un sistema correttamente configurato basta introdurre la smart card o un token usb nello slot/porta prima di accendere il pc e nulla più, non ci trovo nulla di complicato. Quanto alle autenticazioni biometriche c’è un po’ di confusione, non viene memorizzata l’impronta digitale vera e propria ma un digest (come il risultato di un hash) calcolato sulla base di un’insieme di punti presi dall’impronta. Idem per gli scanner retinici,ecc…. Nessun rischio per la propria identità….o comunque meno che non con le password normali, se poi l’obiettivo è mantenere delle identità fittizie sul web allora è un altro discorso ma viene meno il fine dell’autenticazione almeno dal punto di vista dello sviluppatore e dell’utente in buona fede. Il web è la prima fonte di richieste di password per un utente, pertanto è verso il web che l’utente dirige la propria frustrazione, ed è al web che prima o poi l’utente chiederà di cambiare.Il fatto di poter fornire agli utenti un accesso più diretto, semplice ma allo stesso modo sicuro non è oggi una necessità ma caratteristica a mio avviso sempre più desiderabile (ancor di più se si sviluppano applicativi che prevedono integrazioni con altri sistemi).
@FNF : I digest per loro natura non sono adatti al riconoscimento biometrico. Una piccola variazione o errore nel rilevamento dei punti scelti per l’impronta determinerebbero un errore nel digest e quindi un errore nell’autenticazione. Il riconoscimento avviene con tecniche di intelligenza artificile, applicata ad una grande mole di dati suscettibili di piccole variazioni, ma che nel complesso lasciano una probabilità di errore quasi nulla. Un pò come avviene per il riconoscimento del DNA dove la certezza non è al 100% ma al 97-98% e il riconoscimento non si basa mai sui digest. Qui sta la differenza tra i digest che sono il prodotto di funzioni rigorose e rigide, e gli algoritmi di riconoscimento che spesso sono basati su reti neurali e algoritmi probabilistici.
Grazie per l’osservazione, il mio intervento è stato quanto mai impreciso. Mi sono espresso male sopratutto nel fare un’analogia con i digest delle hash. Era per insistere non su come si effettua il riconoscimento biometrico ma su quello che poi viene effettivamente memorizzato sui database che richiederanno le autenticazioni (quindi a rischio di intrusioni e quant’altro). Non viene memorizzata l’impronta intera, si cerca piuttosto di andare dall’impronta intera a creare un sistema di chiavi (eventualmente con o senza certificato), ecc…parlo dei sistemi consumer in cui la biometria si ferma al dispositivo di riconoscimento e al pc a cui esso e collegato e dopo interviene la crittografia. Sarebbe impensabile per un singolo o una società che gestiscono un banale forum assumersi la responsabilità anche dal punto di vista legale di gestire e conservare dati significativi come le impronte digitali.E’ ovvio che le forze dell’ordine avranno bisogno di memorizzare interi database di impronte complete, effettuare su di esse riconoscimenti con i dovuti algoritmi ecc… ma lì si finisce fuori tema… a meno che non dobbiamo andare a realizzare un sito o un software per qualche agenzia di pubblica sicurezza….
Scusate ad ogni modo l’intromissione, non insisto più di tanto, volevo solo ribadire la necessità di approfondire la conoscenza delle tecniche e delle tecnologie attualmente a disposizione per sopperire alle atenticazioni con username e password.
[...] l’accessibilità); sulla questione sono intervenuto commentando un interessante post su Italian Webdesign (che ha riportato la notizia) in cui si dibatteva tra l’esigenza di garantire una [...]
[...] da Giancarlo D’Urso per Italian Webdesign dove si discute di temi sempre attualissimi come sicurezza e accessibilità. Io l’ho trovato spunto per una riflessione e mi interessa [...]