לפני חודש וחצי כתב נילסן בניוזלטר שלו, Alertbox, על הסתרת סיסמא בזמן הקלדה (password masking). הוא טען בתוקף שעבר זמנה של הסתרת הסיסמא, ושהיא פוגעת בשמישות יותר מאשר מועילה לה. אז מה איתכם, אתם סומכים על המילה שלו בעניין הזה, או לא?

ג'ייקוב נילסן

ג'ייקוב נילסן

כמה מילים על נילסן

נילסן הוא אושיית שמישות ברשת. אם הוא אומר משהו, בדרך-כלל כדאי להקשיב לו. זה לא שהוא לא סופג ביקורת – לא פעם גם בצדק. יש שפע של ציטוטים יהירים שמיוחסים לו. למשל (המקור כאן):

"בעתיד, קודם כל, אתרים יעוצבו על פי הקווים המנחים שלי … מהסיבה הפשוטה שאם הם לא, הם ימותו", ג'ייקוב נילסן

כנראה שהכוונה לאתרים, לא למעצבים :-) גם האתר שלו ספג שפע של ביקורת על העיצוב שלו. אם לדייק, על האין-עיצוב שלו. רבים חושבים שהוא מכוער. אני לא חושב שהוא נוראי, אבל הוא רחוק מלהיות נעים לעין.

המאמר

ולעניין עצמו. הנה תמצית המאמר:

  • ברוב הפעמים שאנשים מקלידים סיסמא, אין עליהם איום אבטחה, כלומר אף אחד לא צופה בהם.
  • הטענות העיקריות:
    • אנשים טועים יותר כשהם לא רואים את מה שהם מקלידים, ולכן מרגישים פחות בטוחים בעצמם כשהם מקלידים סיסמא.
    • כשאנשים טועים בהקלדת סיסמא הם נוטים לנטוש את האתר – אובדן לקוחות.
    • ככל שאנשים מאויימים יותר על-ידי הסיסמא, הם יפתחו שיטות לעקוף אותה, כמו העתקה והדבקה מקובץ מוכן, או סיסמאות פשוטות.
    • שתי שיטות המעקף הללו פוגעות באבטחה יותר מאשר אי-הסתרת הסיסמא.
  • המסקנה: אי-הסתרת הסיסמא תשפר את הכנסות האתר, ותיצור משתמשים מרוצים יותר.
  • הסיבה האמיתית להסתרת סיסמא:
    • זו היתה ברירת המחדל ברשת בימיה הראשונים
    • קל לעשות את זה

הסתרת סיסמאהוא מזכיר גם את הבעיה הקשה של הקלדת מידע בכלל וסיסמאות בפרט על מכשירים ניידים. ראיתי כבר שני מכשירים, אייפון ו-k800i של סוני אריקסון, שמשתמשים באותו פיתרון: הצגה של האות האחרונה לשנייה או שתיים, מיד אחרי ההקלדה, ואז הסתרה שלה. התוצאה הסופית די דומה למה שקורה בשולחן העבודה. בשניהם התצוגה הזו מסייעת לצמצם את השגיאות בהקלדה.

עד כאן דברי נילסן. ניזכרתי בהם היום כשקראתי מאמר ב-Ynet על הדרכים בהם אפשר לצוטט לפעילות מסך המחשב מרחוק, והוא העלה אצלי מחדש את השאלה, מה לעשות עם העצה של נילסן?

מצד אחד – יש הגיון בדברים שהוא אומר. הסתרת הסיסמא לא באמת נחוצה ברוב מקרי השימוש, של עובדי המשרד לפחות, או של כאלה שגולשים ברשת מהבית. מצד שני, הוא מתעלם לחלוטין מתחושת הביטחון שההסתרה הזו מקנה. למדנו לצפות ממערכות מחשב להסתרת הסיסמא, בעיקר ממקומות שבהם הדיסקרטיות באמת חשובה – כספומטים בעיקר, וגם ממערכות ברשת – מתוך הרגל שימוש. בחו"ל מקלידים את הסיסמא גם בקופות, בזמן תשלום עם אשראי. גם שם הוא מוסתר.

מה אתם חושבים?

אתם מסכימים עם נילסן? איך הייתם מגיבים אם אתר שאתם משתמשים בו לא היה מסתיר את הסיסמא בזמן ההקלדה?

המעצבים והמתכנתים שביניכם – הייתם מבטלים את הסתרת הסיסמא במוצרים שלכם היום? מה יאפשר שינוי כזה, אם אתם חושבים שהוא צריך לקרות אי-שם בעתיד?

חישבו על מקרים שבהם שלחו לכם אתרים את הסיסמא שלכם במייל, כשלחצתם על הלינק "שכחתי את הסיסמא שלי". כמה חשופים או בטוחים הרגשתם כשראיתם את הסיסמא שם, שחור על גבי לבן?

אשמח לשמוע מה דעתכם.