¿Es hora de eliminar el enmascaramiento de contraseñas?

#1   Más en Slashdot (it.slashdot.org/article.pl?sid=09/06/25/1856214), Bruce Schneier (www.schneier.com/blog/archives/2009/06/the_problem_wit_2.html) y John Murrell (blogs.siliconvalley.com/gmsv/2009/06/but-what-if-my-password-really-is)

#2   La verdad, es un planteamiento muy interesante, quizá lo ideal es que el enmascaramiento fuera opcional, medida que ya ofrece algún sistema y aplicación.

#4   Eso de que no hay nadie husmeando...me hace gracia. Yo creo que son útiles.

#13   Respuesta: No.

#14   Eso de que no tienes a nadie husmeando por encima de tu hombro... Cuando quiera le presento a un familiar que hará que cambie de opinión

#16   #9 En el navegador se puede hacer con un bookmarklet:
techrageo.us/2007/11/21/show-password-fields/

#17   #8

#18   Los retrasados mentales también tienen derecho a registrarse en páginas webs.

#20   Pues a mí me parece una de las grandes lagunas de internet en cuanto a usabilidad.

#21   Estoy de acuerdo con #9 no hay que pensar solo en la contraseña al entrar al e-mail o al menéame, sino por ejemplo al tener que acceder a un servidor en una presentación pública (y por tanto conectado a un proyector y ante la mirada de muchas personas).

Lo más útil es poner la casilla opcional de mostrar contraseña, que en un Ubuntu lo he visto al menos al poner la contraseña de la Wifi, que si por ejemplo es la predefinida de Telefónica...

#22   Por mi, mientras sea solo una opción me da igual. El dia que una aplicación no la lleve por defecto, o no te permita usar máscara, dejaré de usarla. Es mas, me resulta raro ver mi contraseña escrita.

#23   No rotundo!
La contraseña es un sistema de seguridad. ¿Cómo vas a desvelarla? Es como si fueras al cajero y en vez de teclear tu número secreto lo dijeras en voz alta, venga, que no pasa nada...

#24   #12 Y en Meneame también funciona: ********

#25   No solo están husmeando encima de tu hombro... están mirando el teclado para memorizar que teclas presionas. Me ha tocado mcuhas veces fallar a propósito para que la persona no mire el teclado y cuando observo que mira a otro lado... tachan... escribo la contraseña correcta y enter.

#26   Si eres tan necoras de no saber teclear tu contraseña correctamente despues de 5 intentos o asi, escribe mas despacio coño..... y si ves que fallas 2 veces, revisa las mayusculas.... pero vamos, no creo que sea problema de no ver lo que estas escribiendo..... y aun asi, siempre podras teclearlo en el notepad o la barra de direccion y pegarlo

Adenas, si tienes chorizos en vez de dedos, siempre tendras la opcion de recordarla automaticamente (Si tan solo estas en tu despacho con pass de sesion y demas, no deberias tener problemas)

Pero vamos, que no me gustaria meter el pass del correo delante de los compañeros de trabajo..... vero bueno, si el no tiene problema siempre puede escribirlo previamente en el word con letra 25 y asi no tendra problema

#27   Ya puestos la dejamos apuntada en un pos-it pegado al monitor.

#28   Es hora de eliminar el enmascaramiento de contraseñas?

Pensaba que iba a hablar de otros métodos de autenticación (biometría, DNI electrónico, etc) pero no, solo es un memo proponiendo que escribamos nuestras contraseñas en claro y en público.

¡Espera! ¡Tengo otra idea! ¿Por qué no eliminamos también el enmascaramiento del PIN en los cajeros automáticos? ¡Basta ya de estúpidas medidas de seguridad que nadie entiende, la usabilidad es lo primero!

#29   #28 ¿Jakob Nielsen un memo? Háztelo mirar o como mínimo moléstate en leer una mínima parte de los estudios que le han hecho llegar a esta conclusión antes de quedar como un completo ignorante...

#30   #29 Tonto es el que dice tonterías </Forrest Gump>

#31   #9 Tal y como ya hace www.truecrypt.org

#32   Hay que redefinir el protocolo y la etiqueta a la hora de interactuar con los demás. Igual que no está bien visto quedarte mirando el pene a alguien mientras orina en un baño público Lo correcto es guardar una distancia de seguridad en la cola del cajero. O mirar hacia otro lado cuando tu compañero te quiere enseñar algo en su ordenador e introduce su contraseña delante de ti. Una situación que en mi oficina se sigue dando muy a menudo. (lo de la contraseña, digo. Los baños en mi oficina son individuales )

Por otro lado, a veces me ha pasado que la tecla SHIFT no funcionaba correctamente y la contraseña incluía letras mayúsculas y minúsculas (es un requisito de seguridad en mi trabajo) de modo que en ciertas ocasiones sí que creo que quizá sería apropiada la opción Mostrar contraseñas como apunta #9 pero solo de manera opcional y cuando estés seguro que nadie te observa

#33   #9 O cambia de sistema operativo.

docs.info.apple.com/article.html?path=Mac/10.4/en/mh1960.html

www.whatsmypass.com/wp-content/uploads/2008/10/mac-network-airport-sho

#35   Es peor en Linux, porque cuando pones una constraseña el cursor está estable, no ves siquiera que has pulsado alguna tecla aunque sea erronea (hablo de consola).
De acuerdo con #9, debería haber una opción para ocultarla o no.

#36   Yo donde veo mas util el quitar el enmascaramiento es cuando la registras por primera vez, porque no es tan dificil introducir la contraseña dos veces con el mismo error.

#37   Pegas de los asteriscos: que puedes teclear mal y tener que volver a escribir la contraseña.

Pegas de no ponerlos: que te pueden robar la contraseña y, con ello, información o dinero, o suplantarte.

Yo lo veo claro.

#38   pollada

#39   En algunos servidores de correo, tienen la opción de mostrar contaseña.

#41   #40 asteriscos o no, eso no implica o deja de hacer que la gente guarde sus contraseñas en post-it. si realmente te referías a eso me temo que has meado fuera del bote

#43   Joer, no entiendo el problema. ¿La contraseña no son siempre 6 asteriscos?

#44   Con la cantidad de contraseñas que se escriben solas, el día que cambie de PC va a ser la hecatombe.

#45   Pues si ya se "quejan" de esto, no me imagino el sistema que utiliza por ejemplo Debian que ni siquiera sale un jodido asterisco

#46   #45 ¿Debian? Cualquier Linux o UNIX de toda la vida lo hace.

#47   #35 No es peor, saber la longitud de la contraseña ya es revelar información sobre la misma y facilitar las cosas, por eso si no se muestran asteriscos ni nada la seguridad es mejor ya que alguien que esté mirando ni siquiera puede saber que longitud tiene la contraseña.

#48   Hombre, debería haber un botoncito de opcionalidad para mostrar o no la contraseña. En mi facultad por ejemplo (se usan proyectores como en la mayoría de facultades de España), si un profesor quiere acceder a su espacio virtual, mostraría su contraseña a todos los alumnos. Si se mostrasen... pobres profesores, y seguramente muchas personas. Lo suyo es una opcionalidad y como decía #8 , es una contraseña, no la biblia...

#51   #49 +1

#52   #9 Todos hablan de aplicaciones Third-Party para eso pero en MAC OS X viene de forma nativa

#53   También hay soluciones intermedias, como la implementada en el iphone, que sólo muestra la última letra escrita, en cuanto escribes otra, muestra la última de nuevo y la anterior la cambia por un asterisco.

#54   #49 No tanta como los asteríscos, yo en mis contraseñas tengo símbolos y letras mayúsculas, cosa altamente recomendable, que requieren pulsar más de una tecla, además de que escuchar correctamente las pulsaciones depende mucho del entorno, mucho más que mirar una pantalla, y necesita más atención, así que no, lo siento pero no es lo mismo, y la longitud de la contraseña es un punto clave en la seguridad, igual que si supieras que sólo tiene números.

#55   ¡Si mi password son todo asteroides!

#56   No doy crédito ni a la noticia ni a los comentarios que la aprueban, es un despropósito en toda regla. Ya no se trata de que haya alguien detrás nuestro, que sería un problema de seguridad mínimo, sino de los cientos de programas spyware que existen, (Keyloggers, Troyanos, etc) los cuales son capaces de grabar en vídeo la pantalla o tomar instantáneas de esta cada X segundos, y con este tipo de prácticas sí es totalmente inseguro mostrar la contraseña. Cuanta ignorancia...

#57   A mí me ha pasado más de una vez que he tenido que dar alguna contraseña que utilizaba varias veces al día a alguien y no he sido capaz, aún cuando era capaz de teclearla correctamente. Mi conclusión es que después de un tiempo, poco en realidad, en mi empresa se cambian las contraseñas cada dos meses, el cerebro guarda las contraseñas de modo instintivo a modo de movimientos digitales y ya no las asocia con caracteres concretos; no sé si parece una tontería pero lo que digo me pasa realmente (sé que no tiene que ver directamente con el tema, pero siendo sábado a modo de anécdota...).

#58   #56 Pues me pillarán el contenido del portapapeles, porque con contraseñas de 10 a 25 caracteres, con símbolos raros y demás, o veo lo que escribo o corto y pego. Un botón para elegir, igual que con la frase de paso de la wifi, estaría bien.

#59   #56 a los Keyloggers les da igual lo que aparezca en pantalla, por eso se llaman keyloggers y no "viewloggers".

#60   #38 es.answers.yahoo.com/question/index?qid=20090110172159AAN83Ub

#61   #59 EPIC FAIL!

#62   LOL... pero si los que usamos internet estamos tan aconstumbrados a poner nuestras contraseñas que somos capaces de hacerlo con los ojos cerrados!!!

#63   #57 Pues lo siento pero es una tontería. Y si te pasa lo que cuentas es que tienes un problema

#64   #59 Los keyloggers modernos también son capaces de capturar la pantalla, además de captar la pulsación de las teclas, así que no les da igual lo que aparezca en la pantalla.

#65   #61 pues abres un gedit ( o bloc de notas) y la escribes con el teclado, aunque seguro que no te hace falta, yo creo que con un papel y un lápiz me apañaba.

#66   Al igual que escribí en Slashdot...
No, no es hora. No es un problema de usabilidad, por mucho que lo diga Nielsen, uno de los mayores expertos en este área.
Una cosa es facilitar el uso de una aplicación a través de un correcto diseño de la interfaz y otra contravenir una norma de seguridad básica. Una clave no es texto cualquiera, es un tipo de texto que hay que proteger a toda costa, por todos los medios posibles.
No admito la propuesta de #9, porque no mejora la usabilidad y si aumenta el riesgo de activar dicha opción sin querer o por despiste.
Sí admito el que al teclear la clave, aparezca cada carácter unos milisegundos en pantalla antes de transformarse en un asterisco o lo que se quiera usar, pero no que se quede de forma permanente. ¿Acaso no sabe Nielsen que justamente los ataques a la seguridad de los sistemas protegidos por contraseñas son aquellos que no requieren grandes artilugios tecnológicos? Por ejemplo, la típica ingeniería social o el simple hecho de permanecer detrás de una persona mirando como inicia sesión...
Me imagino que entonces Nielsen no gustará de la forma en la que se inicia sesión en una consola de linux hoy en día donde ni siquiera se muestra ningún carácter a la hora de introducir la contraseña...

#67   #8 no sé tú, pero yo aunque no se vea lo que escribo en la pantalla cuando voy a poner mi contraseña y hay alguien delante siempre hago la de "¡mira, un chorizo colgando!"(señalando a alguna pared).

PD: nunca falla.

#68   #64 Lo tuyo sí que es un despropósito , gracias por alegrarme el día.

Me explico: si los keylogers ya han capturado lo que has escrito, aunque puedan, ¿para que c**o quieren una captura de pantalla donde se muestra precisamente lo que has escrito?.

Los keyloggers pueden capturar la pantalla porque hay sistemas de seguridad que p ej, consisten en hacer clic en el teclado que se muestra en pantalla, sin teclear en el teclado de verdad y, claro, ahí capturar las teclas de tu teclado de verdad no sirve de nada porque no lo estás usando.

Pero cuando usas estos teclados virtuales da igual que se muestren o no se muestren los asteriscos porque o muy hábil eres con el ratón o la persona que te mira ya está viendo que teclas clicas. Por ello, lo de destapar o no los asteriscos se refiere a las contraseñas que se introducen de forma normal desde tu teclado donde a un keylogger le da igual lo que aparezca en pantalla.

#69   #46 De ahí que pusiera un "por ejemplo" si no lo hubiera omitido y hubiera dicho directamente lo tuyo

#70   #53 Eso lo hacen todos los móviles, básicamente para ver qué letra has pulsad. También pasa que en los móviles es muy fácil moverlos de tal forma que nadie pueda ver la pantalla. Sin embargo en los PC no lo veo tan claro.

Yo creo que lo mejor es una opción para mostar los carácteres y que fuera estándar en cualquier programa. Para no tener que modificar la disposición de todas los programas y páginas web del mundo, pondría una combinación de teclas estandarizada en todos los programas para tal fin (por ejemplo shift+backspace).

#71   ¿Y no sería más fácil un javascript al lado: Mostrar contraseña?

#72   No, no es hora. Es hora de dejar de fumar petas y escribir polleces.

#73 ¿Y? Puede ser quien sea, pero sugerir algo así es tener muy poca idea de lo que se está diciendo. O eso, o tiene algún interés en que más de uno tenga problemas de seguridad.

#73   #28 Es uno de los más brillantes en lo que se refiere a usabilidad en la web. Por lo menos un poco de respeto se merece.

#74   Jakob, vuelve a la cabaña tio.

#75   No estoy de acuerdo. No sólo puedes tener a alguien a tu lado si no también a alguien que mediante programas de asistencia remota pueda ver tu pantalla

#76   Es tan fácil como poner un checkbox que enmascare/desenmascare la contraseña, punto.

#77   Al Jakob ese le ponía en mi curro un mes a ver si opinaba lo mismo. En mi oficina (un dpto TI), te pasas todo el día con gente detrás soplando nuca para ver si le solucionas tal o cual cosa, y lógicamente ellos no tienen pq saber cual es la contraseña de admin de las máquinas a las q te conectas.

#78   Ese pavo no sabe lo que dice, día tras día tiene a una persona al lado cuando te tienes que loguear en diferentes lugares. Como mucho que sea seleccionable mostrarla en ese momento.

#79   Mostrar contraseña -> document.getElementById('contraseña').type = 'text'
Ocultar contraseña -> document.getElementById('contraseña').type = 'password'

¿Tan difícil es?

#80   #53 iba a escribir lo mismo

#81   Bueno, para eso hay el "recordar contraseña" en esos entornos tan controlados donde no hay nada que temer...

Claro que el mero hecho de que exista una contraseña ya va en contra de la usabilidad, si no hemos de poner tontos.

#82   #2 También podría ser mixto, como que no se enmascaren los ultimos 3 caracteres, o el ultimo.

#83   Yo escribo contraseñas al estilo "Solo voy caminando por las montañas y 5 monjes vienen a atacarme" = Svcplmy5mvaa
Asi no son suceptibles a diccionarios y por fuerza bruta les tomaria lo suyo, y como uso una frase es dificil olvidarla

#84   ¿Y qué sucede si un espía de esos analiza, a unos metros de mi, la frecuencia electromagnética despedida por mi monitor y reconstruye la imagen?

Es una tontería eso de no enmascarar una contraseña, y creo que también es contraproducente la opción de "ocultar contraseña", con la costumbre que tenemos de hacer lo más fácil.

Es un flagrante agujero de seguridad, sea más usable o no. Jackob será quién sea, pero aquí patinó.

#85   Pues incluso a mi me parece poco seguro que muestre la cantidad de asteriscos y me gustaría que ni siquiera se viera cuántos caracteres tiene la contraseña. No todo el mundo trabajamos en oficinas pequeñas o tenemos despacho propio: muchas veces cuando pondemos las contraseñas tenemos mucha gente alrededor.

#86   Ninguno de los sistemas de enmascaramiento parcial se salva de sistemas de reconstrucción remota de la imagen del monitor.

#87   La solución más práctica que he visto es la que viene con los productos de Apple por defecto: se va mostrando la última letra que has tecleado, y las anteriores se van sustituyendo por los tradicionales asteriscos o circulitos.

O sea, que en realidad la contraseña queda lo bastante oculta si alguien te está fisgando por encima del hombro, pero al mismo tiempo si tienes un error al teclear es mucho más fácil darte cuenta.

#88   La opción satisface a todos. yo por mi parte seguiré con mis contraseñas en papelito, usando truquitos que solo entiendo yo (tipo cambiar los 0 por 1, los 2 por 3...)

#89   #63 sí, probablemente. La verdad llevo dando vueltas a eso hace mucho tiempo (debido al trabajo que hago veo mucha gente escribiendo en computadoras) y creo que tiene que ver con el aprendizaje de la mecanografía; intentaré explicarme, no sé por qué razón mucha gente que trabaja con ordenadores no sabe mecanografiar, de hecho es fácil ver a programadores que escriben con un dedo de cada mano, la verdad a mi me parece un poco como ver a un mono (todo mi respeto para ellos) intentando manejar un computador. Yo qué quieres que te diga, mecanografío tan rápido como puedo hablar, es más, puedo escribir sin ver ni la pantalla ni el teclado, eso, por muy increíble que pueda parecer, te lo podrá confirmar cualquier persona que sepa mecanografía y también te podrá confirmar que una vez que sabes mecanografía no hay mucha diferencia entre el hablar y escribir en un teclado, viéndolo así quizá comprendas por qué a mi me pasa lo que me pasa.

#64 imagino que te refieres a ciertos programas, los conozco, pero no son keyloggers (quizá parezca obvio, pero la misma palabra tiene algo que decir sobre lo que hacen ).

OT: Al final mi comentario ha llevado a un hilo con tema completamente diferente ...

#90   yo tengo la costumbre de apartar elegantemente la mirada cuando otros escriben su contraseña, y espero lo mismo de los demas

#91   Si me dieran un euro por cada vez que tengo que teclear la contraseña de un servidor delante del que quiere entrar a cacharrear dentro...

Este Jakob Nielsen se ha debido caer de una higuera.

#92   Para qué enmascarar las contraseñas, si total, están puestas en un post-it pegado al monitor?

#93   En una conferencia todos los asistentes están tu escritorio proyectado en la pared, muchas veces tienes la necesidad de entrar a tu correo y escribir tu contraseña.... En esos casos es bueno el enmascaramiento.

Más Fácil = Más Inseguro

#94   Seguro que los trabajadores de Call Centers en la India o los de puestos similares están muy de acuerdo con este señor...

#95   El problema, en mi opinión, es la necesidad de utilizar contraseñas, ya sea mediante el teclado de toda la vida o algún sistema biométrico. Es un sistema arcaico que obedece a la falta de seguridad en el mundo físico y debería ser reemplazado por un sistema diferente.

Opino que la solución pasará, dentro de unos años, por estar siempre "conectados" a un sistema informático integrado dentro de nuestro cuerpo y que sea él quien se encargue de acceder a otros sistemas y completar los procesos de identificación. ¿Orweliano? Pues sí, pero es a lo que tendemos (y si no me crees, piensa en cuanto tiempo llevas el móvil encima).

Y Jakob Nielsen es El Gurú de la usabilidad, si bien no estoy de acuerdo con su solución, si estoy de acuerdo con que la introducción de contraseñas es un problema para el usuario.

#96   #18 ESTÁ BIEN!
Disminuídos psíquicos. ¿ok?

#97   esto es la cosa mas idiota que he leido en mucho, mucho tiempo

#99   #71 eso lo haces con greasemonkey en una patá

#100   #98 yo puse como contraseña el nombre de un lugar de la Mancha, y cuando quise acordarme...

#101   Igual la gente no me mira por encima del hombro para ver mi contraseña porque aparece enmascarada. Y no se las oficinas del señor Jacob, pero en la mía no estoy solo... por desgracia.

#102   #34 Y perdona la pregunta, pero... cuantos esguinces has sufrido durante tan horrible experiencia como poner dos veces la contraseña?

#103   Antes de nada: la lógica es un poco rara... "Hay gente idiota, para facilitarles la vida... ¡Volvámonos todos idiotas!"

Lo mejor es el checkbox de "mostrar contraseña", deshabilitado por defecto. Quién quiera exponerse a que alguien vea su contraseña, es libre de hacerlo. Yo no, gracias, prefiero equivocarme diez veces al año (no es que me equivoque mucho al teclear) a que alguien pueda ver, una de las diez mil veces que tecleo una contraseña, lo que he tecleado.

Sobre lo de Apple, en el iPhone también lo han hecho así, pero lo malo es que al pinchar en la letra, hace un zoom de ésta impresionante, por lo que aunque parezca difícil que alguien te pille la contraseña ahí, el "agrandar" la tecla que has pulsado, sumado a la velocidad de escritura en el iPhone (el último carácter tecleado se queda bastante tiempo en pantalla) lo hace más sencillo.

Sobre los asteriscos y la longitud de la contraseña, juraría que he visto algo por ahí (¿un plugin para Firefox?) que en cada pulsación mostraba un número de asteriscos distintos La verdad es que nunca me he parado a contar los asteriscos para ver si la longitud de la contraseña coincindía, por lo que esta solución basada en la confusión del "adversario" a mí me valdría.

Sobre el tema de la privacidad en la oficina... Alguien debería recordarle a Jakob Nielsen que existe algo que se llama escritorio remoto, VNC,... Que últimamente se usa bastante y que puede suponer un problema similar al que comentáis de conferencias y demás. No es raro que en ciertos sitios usen monitores remotos de los puestos de trabajo, o que en caso de asistencia técnica remota se utilicen soluciones tipo VNC. Así que si tengo un problema con mi ordenador, y hay un tipo del servicio técnico viendo mi pantalla y me dice "intente acceder a su correo", casi que prefiero que no pueda ver la contraseña.

Para todo lo demás, Keepass y la opción de recordar contraseñas de los navegadores decentes (¿el IE no permite proteger la base de datos de contraseñas con una clave maestra, verdad?). El Keepass, concretamente, es muy útil para estos casos: se bloquea solo pasado un tiempo sin actividad, si copias y pegas la contraseña, vacía él solo el portapapeles, tiene opciones de automatizar el acceso a webs... Una joya

Y para los que hablan sobre que el ruido de las teclas puede dar pistas, o regenerar a distancia la imagen del monitor, etc. recomendación cinéfila del día: Sneakers (1992)

Que, por cierto y hablando de teclados, no he visto cosa más insegura que los teclados inalámbricos por radiofrecuencia que no cifran la señal entre el dispositivo y el receptor. Con un receptor del mismo modelo, ves absolutamente todo (incluso el movimiento del ratón). Y aunque no sea del mismo modelo, probablemente puedas montarte un receptor que capte la señal y reinterpretarla después. ¡Pero si un conocido tenía, hace años, un teclado que interfería con mi radio portátil! Estaba escuchando música y oía el "tictactictac" por el receptor cuando éste tecleaba. Eso sin contar los estudios aobre los teclados inalámbricos por RF cuya señal se expande por las estructuras metálicas de los edificios y en los que se ha dado casos en los que se puede "escuchar" la señal de un teclado que está en otro piso de un mismo edificio

Perdón por el tostón y algún que otro off-topic.

#104   reinventando la rueda... el tio jakob es un hacha en eso...

#105   yo propongo eliminar a los tarados que usan computadoras y ni siquiera son capaces de escribir bien una contraseña… reemplazar a toda esa gente por asteriscos.

#106   Pues no se en que oficina debo de trabajar, debe ser la mas rara del mundo: Es muy común que hayan compañeros alrededor y tal.......
Menuda estupidez que se le ha ocurrido al lumbreras este.......

#107   El tio Jackob ha meado fuera del tiesto. Que aparezca como opción descubrir las claves no está mal, muchos routers lo tienen como opción a la hora de meter la clave, pero que como opción estén al descubierto me parece muy inseguro. Eso de que estas solo delante del ordenador le pasará a el que esta en su despacho, pero a los que compartimos mesa o estamos a la vista de la gente ¿que?. A nosotros que nos den!
Y cuando vuelves a una pagina y te recuerda el usuario y el password también lo mostrará?. En fin, que si esto es lo más interantes que tiene que decir sobre usabilidad mejor que no diga nada.

#109   #83 Tu comentario me recuerda la campaña anticrisis de una importante cadena de supermercados.
Ademas de ser una buena idea