Acerca del Password Masking (enmascaramiento de passwords)

Categoría: Desarrollo Web, Diseño Web | July 3, 2009

pass3

Se está generando una discusión bastante interesante acerca del enmascaramiento de los passwords, o más conocido como Password Masking. El “buzz” fue originado por un artículo escrito por Jakob Nielsen (experimentado desarrollador web), dicho artículo alentaba a las personas a dejar de utilizar el tipo de campos.

¿Qué es el enmascaramiento de passwords?

El enmascaramiento de passwords es una acción que realizan los browsers cuando se coloca el tag “input” con el tipo “password”. Esto para evitar que “mirones” vean lo que ponemos en ese campo. Por ejemplo acá esta un campo sin el tipo password:

pass1

Y acá uno con el tipo “password”

pass2

Cómo se coloca?

El tag input tiene por defecto la propiedad “type” en “text”. Para enmascarar un campo se debe colocar la propiedad “type” en “password”

<input value="pass" type="password">

Seguridad del enmascaramiento de passwords

No existe más seguridad de un campo con enmascaramiento de passwords que uno sin esa característica. Estos datos son enviados como texto, cualquiera que este haciendo sniffing a tu red puede verlos si la conexión con la página no esta hecha mediante HTTPS.

Tampoco se confien, existen mil y un maneras de obtener passwords, desde asaltar a una persona y pedirle su password (algo extremo no creen?) hasta robárselo mediante algun software que grabe los caracteres insertados mediante el teclado (keyboard logging)

Usabilidad

Entonces, si no es tan seguro porque seguir usándolo? Jakob dice:

La usabilidad de un sitio es lapidada cuando los usuarios colocan los passwords y lo único que puede ver es una fila de * (asteriscos). El enmascaramiento de passwords no aumenta la seguridad pero le puede costar a tu negocio por los intentos de iniciar sesión.

Y las respuestas van desde un “estoy de acuerdo” hasta de “solo porque pases tus días en un cuarto encerrado donde no hay nadie que pueda verte colocar tu password no significa que esté mal enmascarar los passwords”.

Acá las respuestas:

En mi opinión la mayoría de los usuarios son demasiado descuidados. Obviamente enmascarar los passwords no incrementa la seguridad de manera drástica pero si ayuda en muchos casos (demostraciones públicas de algo, exposiciones, algún lugar donde todos vean lo que haces, etc.)

Otro problema son las políticas de seguridad de la entidad (empresa,etc.) en la que se encuentran los usuarios, por ejemplo tener passwords de 20 caracteres no repetidos y menos de 3 vocales. Los usuarios copiarán su password en cualquier lugar (quién puede memorizar semejante cosa?) lo que lo hace aún más vulnerable. Ni imaginar el tiempo perdido en tratar de iniciar sesión con semejante password. No culpo a las políticas de seguridad sino a las que las personas que las imponen, tal vez no piensan como un usuario.

Existen soluciones diferentes por ejemplo la del a Iphone (que muestra el último caracter por un momento).

De lo que no hay duda es que la discusión se está poniendo interesante.

Deja un comentario