我刚读了一篇文章,文章争论说密码屏蔽起不到效果,甚至还有害。我不敢确定自己是否支持这个论点,因此在此想跟大家探讨一下。
——————————————————————————————————————-
《停止密码屏蔽》这篇文章是由卓有声望的Web和用户界面专家JakobNielsen博士写的:
“雅各布·尼尔森,博士,是他和唐纳德·诺曼博士(苹果公司前研发副总裁)联合创办的尼尔森诺曼集团的用户代言人和负责人。在1998年开始运作NNG之前,他是太阳微系统公司杰出的工程师。
尼尔森博士发起了“简化可用性工程”运动,快速和廉价地对用户界面进行改善,并发明了若干种可用性方法,包括启发式评估法。他拥有79项美国专利,专利主要涉及让互联网更易于使用的办法。”
从对尼尔森博士的认定中我们可以看出,他的使用密码屏蔽是个坏主意的提法不容忽视。
为什么要密码屏蔽?
直到我读了这篇文章之前,我一直都以为密码屏蔽是件想都不用想的事情:
- 屏蔽密码是担心别人偷看输入的密码的必然结果。
- 自动完成是个坏主意,但在屏蔽帮助下,阻止他人看到先前的头几个字符相同的的密码。在计算机是多用户使用的情况,这中情况尤为关注。
- 密码屏蔽是获取监管机构批准的需要。公司的安全政策也可能要求对任何时候输入的密码进行屏蔽。
为什么密码屏蔽是不好的
尼尔森如下概括其意见:
“当用户输入密码得到的反馈却是一行星号的时候,可用性受损了。一般情况下,屏蔽密码甚至没有增加安全性,而会由于登录失败导致业务成本增加。”
在其研究中,尼尔森得出结论 -- 使用难以区分的星号盖住密码字符违背了可用性的一项重要原则,即提供感觉反馈原则。为了支持这个主张,尼尔森进一步细化道:
- 填写表格时,在看不到所敲文字的时候用户产生更多的错误。他们因此感觉信心不足。这种双重的用户体验的削弱意味着人们更有可能根本就会放弃了登录你的网站,导致丢掉生意。
- 用户越是不敢确定输入密码,就越有可能使用极度简单及/或从计算机的文件中拷贝-粘贴密码的方式。这两种行为都导致了真正的安全性的缺乏。
我没有看到任何参考文献供研究,以便验证上述理论是否属实,不过看起来这两个论点是有价值的。
使用可携式设备
的确,我同意尼尔森的看法,在移动设备上屏蔽密码真的是很痛苦的。作为证明,我知道我的一些同事就是跟尼尔森所说的那样去做的。 他们镜像下了密码以便更方便地输入。在访问重要网站比如说银行门户的时候,这可不明智。
另一种观点
Jason Montgomery,,一位SANS方面的安全专家在其博文上提供了一个不同的观点。作为一个安全迷,我对他回应尼尔森所写的东西很感兴趣。前面我已经提到过了,所以在此回顾一下:
“一般情况下,屏蔽密码甚至没有增加安全性,而会由于登录失败导致业务成本增加。”
Montgomery回应道:
“尼尔森也许是对的:它有可能增加了企业成本。问题是成本有多大?安全不应成为一切的终极目标。应该永远要以服务组织作为首要宗旨。视所保护的功能来考察安全控制的成本是应有的态度。
Montgomery先生说得很好。我同意你的看法,并相信尼尔森博士也会如此。这被称为妥协,而我认为尼尔森也许已经找到解决方案:
“是的,用户有时的确存在旁观者偷看密码的风险,例如在网咖的时候。因此向他们提供一个复选框来对密码进行屏蔽是值得的;对于高风险的应用,比如银行账号,你也许会把提供复选框作为缺省设置。在安全与可用性之间摇摆的情形下,有时候安全性应该胜出。”
这看起来行之有效,你认为呢?它考虑完所有的可能行了吗?我们何时才能知道自己已足够安全,可以降低安全标准,以便增加可用性呢?
最终思考
在读到尼尔森的博文之前,我一直觉得屏蔽密码本来就是过程的一部分。现在我不那么肯定了。笨重会令生意损失客户。不过另一方面,不屏蔽密码则是一项潜在的安全风险。
围绕着密码的使用展开的讨论,令我不断在思考主流的多因素验证的必要性。不过一厢情愿现在于事无补。对于可用性与安全性的另一项冲突,你又是怎么看的呢?
