Je mi jasné, že názov článku je bulvárny, nevymyslel som ho však ja. Pod týmto názvom publikoval pred niekoľkými dňami svoju úvahu Jakob Nielsen, kontroverzný odborník na prístupnosť (webov, aplikácií, atď.). Článok vyvolal veľmi búrlivú diskusiu a tak som sa rozhodol pridať aj svoj názor.
Meno a heslo dnes patrí k najpoužívanejším formám autentifikácie užívateľa na serveri. Jeho použitie je relatívne jednoduché, nevyžaduje, aby ste so sebou nosili ďalšie zariadenia, ktoré by autentifikáciu vykonali za vás (ako napríklad USB kľúčik so sadou certifikátov). Samozrejme, táto ochrana má aj svoje tienisté stránky. Mnoho odborníkov na bezpečnosť už dlho presadzuje, aby sa prešlo na inú formu ochrany, o ktorej však drvivá väčšina užívateľov nechce ani len počuť. Faktom je, že zatiaľ nebol objavený spôsob, ktorý by bol jednoduchší a príjemnejší ako “meno a heslo” a zároveň poskytol väčšiu formu ochrany. Mnoho ľudí si však neuvedomuje, že vaša banka má takmer rovnakú ochranu ako konto na Facebooku, ak využíva autentifikáciu touto metódou. Banky preto zaviedli niekoľko-úrovňovú autentifikáciu, kedy je potrebné zadať ďalšie informácie, aby bol užívateľ overený.
Nielsenová úvaha nezasahuje do použiteľnosti a bezpečnosti samotnej ochrany. Nielsen v článku kritizuje tzv. hviezdičkovanie hesla, ktoré podľa jeho slov “nezvyšuje úroveň bezpečnosti, zato vás stojí biznis vďaka chybám pri prihlásení”. Skôr ako sa pustíte do zvyšku tohoto článku si prosím prečítajte Nielsenov článok, nebudem sa moc vracať k jeho úvahám.
Názor
Je mi jasné, že mnohým čitateľom sa už pri nadpise zakrvavil pohľad a teraz všetko čítajú cez tento filter. Skúste však na chvíľku odložiť emócie. Nielsen má v jednej veci pravdu. Hviezdičkovanie hesla prináša problémy aj tým, ktorí sú schopní písať na klávesnici bez toho, aby sa na ňu museli pozerať. Táto technická zručnosť vyžaduje dokonalú memorizáciu všetkých kláves klávesnice, čo trvá nejaký ten čas (a tisícky hodín napísaných textov). Drvivá väčšina bežných užívateľov túto zručnosť nemá. Mnohí teda píšu heslo na niekoľkokrát (empiricky overené), alebo ho napíšu niekam inam a potom prekopírujú do políčka pre heslo. Niektoré weby však toto neumožňujú (JavaScript) a tak sa užívateľ trápi. Tieto problémy sa stávajú zriedkavejšími s narastajúcou zručnosťou užívateľa v písaní na klávesnici, nezmiznú však úplne. Občas sa aj majster tesár utne. Určite ste sami už žiadali o zresetovanie hesla z dôvodu, že ste ho nevedeli a ak web poslal aktuálne heslo (čo fakt niektoré robia), tak ste boli prekvapení, že ste mali chybu v písmenku, či dvoch.
Pre
Nielsen navrhuje, aby políčka pre heslo boli nahrádzané bežným políčkom, do akého vypisujete prihlasovacie meno. Tento krok podporuje tvrdením, že hviezdičkovanie vzniklo ako ochrana pred zlodejom, ktorý vám pozerá cez rameno. Nielsen tvrdí, že ak by zlodej chcel, môže vám jednoducho pozerať na prsty.
Na toto vyhlásenie zareagovalo mnoho ľudí, pričom najčastejšie tvrdili, že “heslo píšem tak rýchlo, že by som ho ani sám nedokázal odsledovať”. Bohužiaľ, Nielsen nijak nerozviedol svoje argumenty a tak to skúsim ja. Michal Zalewski, odborník na bezpečnosť, ktorého si veľmi vážim (dnes zamestnanec Googlu), napísal pred niekoľkými rokmi článok, ktorý nazval “Cracking safes with thermal imaging“. Michalov server odišiel do večných vôd Arpanetu a tak je odkaz už len na Google Cache, kde bohužiaľ nie sú obrázky, ktoré krásne ilustrovali tento útok. Pri útoku sa používa kamera, ktorá dokáže snímať termálne teplo, ktoré človek zanecháva pri stlačení jednotlivých kláves. Pri tejto forme útoku vám nepomôže ani rýchlosť, kamera bez problémov zaznamená každé stlačenie klávesy. Kameru je možné zakúpiť jednoducho a aj relatívne lacno napríklad aj tu. Ďalšou možnosťou je tento rok predstavená technika útoku, ktorá umožňuje snímanie kláves za pomoci laseru.
Proti
Som si vedomý, že nie každý zlodej bude mať “po ruke” takéto zariadenie. Faktom je, že odhviezdičkovanie hesla by prinieslo niekoľko situácií, ktoré by mohli ohroziť užívateľovu bezpečnosť. Napríklad bezpečnostné kamery. Je síce pravda, že väčšina týchto kamier má katastrofálny obraz, ale niektoré dokážu zo seba vymačkať už slušnú kvalitu.
Ďalšia problematická situácia môže byť, ak sa za vás niekto postaví, alebo prezentujete a potrebujete živú ukážku v ktorej sa budete prihlasovať, alebo vám zazvoní súrne telefón v polovici hesla a vy budete musieť opustiť počítať (heslá bývajú väčšinou logické slová [málokto má doma psa xf32Zsa7] takže ich nie je problém dokončiť).
Ďalším problémom môže byť malware, ktorý robí screenshoty pri písaní (zameriava sa na bankové weby, ktoré prišli s virtuálnou klávesnicou, pričom malware neustále sníma obraz pri každom kliknutí, či stlačení písmenka).
V neposlednom rade môže spôsobiť problém aj cache (pamäť) prehliadačov, ktoré si pamätajú texty zadávané do formulárov. S tým je samozrejme spojené aj predvyplňovanie formulárov, ktoré je síce možné zakázať aj na strane serveru aj na strane užívateľa, no ruku na srdce. Koľkí to tak doma máte nastavené a koľkí to tak nastavajú na samotnom webe?
Každopádne sa predvyplňovanie formulárov dá vypnúť cez parameter AUTOCOMPLETE ako v tomto príklade.
<FORM AUTOCOMPLETE="off"> <input type=text AUTOCOMPLETE="off">
Zmeny a možnosti
Na oboch stranách existujú argumenty, ktoré potvrdzujú a aj vyvracajú tento návrh. Preto je podľa mňa potrebné hľadať kompromis. Nielsen ho vidí v poskytnutí checkboxu (zaškrtávací štvorček), ktorý by za pomoci JavaScriptu zmenil typ políčka a tým ho za/odhviezdičkoval. Štandardne by však podľa Nielsena malo byť políčko bez hviezdičiek a na požiadanie by si ho užívateľ zahviezdičkoval, i keď pripúšťa prípady, kedy by mohlo byť políčko zahviezdičkované už od začiatku, ako napríklad prihlasovací formulár do banky.
Ja si nemyslím, že by však užívatelia boli veľmi schopní posúdiť prípadne riziko. Dnes je veľmi veľa portálov previazaných a tak strata hesla k jednému môže viesť k problémom u ďalších. Netreba zabúdať aj na to, že množstvo užívateľov používa rovnaké heslá, často len jedno či dve pre celý internet. Vtedy môže byť strata hesla veľmi kritická, i keď ste oň prišli na relatívne nepodstatnom webe.
Úplne vylúčenie hviezdičkovania podľa mňa reálne nie je. Príkladom môže byť PIN kód v bankomate, alebo dôležitosťou podobné údaje, ktoré by si asi nik neželal zobrazovať v čitateľnej forme. Ak niekto chce, môže si heslo odhviezdičkovať za pomoci rôznych nástrojov či doplnkov a to nielen pre prehliadač, ale aj pre samotný systém. Pre prehliadač Firefox môžete využiť rozšírenie Unhide Passwords, ktoré vám umožní zobraziť zahviezdičkované heslo. Ostatne, sám som kedysi písal na túto tému článok.
Ja vidím riešenie v zobrazovaní posledného napísaného písmenka po dobu napríklad 1s. Aj mne by sa občas takáto vymoženosť hodila. Princíp je jednoduchý. Pri písaní vidíte vždy posledné písmenko po dobu 1s, potom sa zmení na hviezdičku. Ak sa nemýlim, tento princíp je aplikovaný v iPhonoch. Podľa mňa je to jedno z najlepších riešení, ktoré je možné aplikovať na túto formu autentifikácie užívateľa.
Príklad:
a
*s
**c
***d
****g
*****
Ak vás nebaví stále vypĺňať formuláre ručne, je možné používať rôzne automatizované riešenia, ako napríklad KeePass, PassPack, alebo môj obľúbený, ale bohužiaľ platený, Roboform. Tieto nástroje vám umožnia rýchlo a jednoducho spravovať tisícky hesiel pre rôzne weby, čím nielen odstránia potrebu používať jedno, či dve heslá pre jeden web, ale zároveň vám umožnia používať veľmi komplikované, predgenerované heslá, ktoré si ani sami nezapamätáte (a ani nemusíte). Tie môžete ukladať online a využívať ich kdekoľvek sa nachádzate. Aj tu sú samozrejme riziká, ktoré si je potrebné uvedomiť, ale o tých zase inokedy.
Záver
Doteraz som sa držal len prvej časti Nielsenovho článku, ktorý sa týkal hviezdičkovania hesla. V druhej časti kritizoval používanie RESET tlačítka, ktoré podľa neho dnes už nemá (a malo vôbec niekedy?) opodstatnenie. Ja s ním musím len súhlasiť. Občas sa mi v niektorých formulároch, ktoré obsahujú toto nechutné tlačítko stane, že namiesto odoslať stlačím RESET. Väčšinou za to môže zle poradie tlačítok, kedy RESET reaguje ako prvý na akciu vyvolanú stlačením klávesy ENTER. To u mňa vždy vyvolá riadnu zúrivosť a preto som si napísal skript pre Greasemonkey, ktorý tlačítko RESET vždy z webu odstráni.
A na úplný záver. Samotný Bruce Schneier súhlasí s Nielsenom. Pod jeho článkom nájdete momentálne 133 komentárov, kde sa dajú nájsť aj zaujímavé názory (ale musíte sa najskôr obrniť proti fakt hlúpym komentárom).
system zobrazenia posledneho pismena bol v mobiloch zavedeny davno davno pred vymyslenim iphonu
“Pri písaní vidíte vždy posledné písmenko po dobu 1s, potom sa zmení na hviezdičku. Ak sa nemýlim, tento princíp je aplikovaný v iPhonoch.”
Toto funguje uz dlhe roky aj vo wapovych prehliadacoch od nokie (mozno aj v inych telefonoch) a ak sa nemylim ma to aj opera mini. Mne osobne sa taketo riesenie nepozdava, tak isto ako ani uplne odhviezdickovanie. Ja som paranoidny aj ked som sam doma, mam zatiahnute zaluzie, sedim na posteli chrbtom k stene a tvarou k dveram :)
Inak mam uchylku si pravidelne suchat prsty o klavesnicu. Bola by aj v takomto pripade ta termo kamera pouzitelna?
Je nesmysl hvězdičkování/nehvězdičkování řešit na straně webu. Web má dát nastavením typu na “password” jasně najevo, že je políčko určené pro zadání hesla, a je pak na prohlížeči a jeho konfiguraci, jakým způsobem umožní uživateli heslo zadat. Pokud chce uživatel při zadávání heslo vidět, nebo chce vidět poslední písmenko, asi to nebude chtít řešit na každém webu zvlášť, ale jedním nastavením prohlížeče. Takže je to prostor právě pro rozšíření prohlížečů, tvůrce webu by se o to neměl vůbec starat (ostatně, javascriptové skrývání či odkrývání předpokládá nějaké grafické zobrazení, což je u webu špatně, ten má být nezávislý na prezentaci).
Otázka nezní zda používat či nepoužívat hvězdičky. A už vůbec by si tuhle otázku neměl pokládat tvůrce webu. Tohle musí řešit operační systém – přesně jak uvádíš – iPhone nebo třeba UIQ3 to dělá taky odjakživa. Uživatel je na to zvyklý, měl by mít možnost si to nastavit a hlavně – bylo by to tak napříč všemi aplikacemi a všemi weby. Nielsen možná prezentoval zajímavou myšlenku z hlediska použitelnosti, ale zapomněl na zažité zvyky uživatelů a na rozdíly mezi weby. Myslím že ten, kdo dnes Nielsena poslechne, velmi brzo narazí na nevoli uživatelů, kteří nepochopí co se děje.
Dík za zajímavý článek.
Přiznám se, že nemám důvěru k aplikacím, které by nehvězdičkovaly heslo při přihlašování.. ale je to spíše o osobním pocitu a zvyku než o lepší použitelnosti na jedné straně či paranoie na straně druhé.
PS: tenhle formulář má odporný kontrast mezi pozadím a písmem.. :-(
Zásadnou je otázka, koľko je útokov zo strany laikov a aké dôsledky takéto útoky majú. Pre profiútočníkov je hviezdičkovanie, ako si naznačil, určite nulovou ochranou. Ale pre laikov, (druhy ako manželka, kolega), ktorí sa chytia náhodnej príležitosti a tá o mesiac dva prerastie do problému, tak pre nich odhviezdičkovanie by bol dar z neba.
V prípade bezpečnostných útokov mám podobné pocity, ako pri prevencii chorôb. Treba urobiť všetky opatrenia, aj tie, ktoré riešia len 1% potencionálnych obetí, pretože v prípade zanedbania toho 1% rizika sú obete nie na 1% ale na 100% mŕtve.
A ešte mi je podivná jedna vec: Že sa rieši “použiteľnosť zabezpečenia”. Veď to je z princípu zabezpečenia, teda sťaženia prístupu oximoron. Zjednodušiť prístup/autorizáciu, ktorý sťažujeme?!? Ale to je na inú a dlhšiu debatu.
Uzivatel by mal mat medzi heslami zavedenu prioritu podla toho, co mu moze strata hesla od daneho systemu sposobit, pre veci kde ide o peniaze alebo nejake ine chulostive veci si dat viacero dobrych hesiel, pre diskusiu v hornozahorackom vecerniku alebo svoje oblubene pornoforum si moze dat kludne to iste jednoduche heslo.
ono, postaci aj 120 fps kamera a nepomoze ani rychle pisanie. :-) (a 120 fps vedia robit aj niektore telefony)
avsak odhviezdickovanie sa mi momentalne nevidi ako rozumna moznost.
#1 Arwie: #2 TommyHot: tym som samozrejme nechcel povedat, ze iPhone objavil nieco prevratne. Ja som sa s tymto systemom stretol niekedy v 90. rokoch v aplikaciach. len mi to prislo ako vhodny priklad aktualneho nasadenia, nehladajte za tym nic ine
#2 TommyHot: paranoja ti nepomoze v tomto pripade. na odchytenie hesla sa da ist ovela jednoduchsie, napriklad tvoj router, etc. tieto veci isto sam poznas.
co sa tyka pouzitelnosti tej kamery, popravde, neviem. nikdy som to neskusal. kup si ju a daj vediet ;)
#3 Filip Jirsák: #4 TimJ: mate obaja pravdu, ja dufam, ze som to v clanku nejak zachytil.
#5 Filosof: nie si sam, kto toto vyslovil. pre mna sa taky formular rovnako stava problematicky a web podozrivym. uz to, ze samotny paypal pytal kedysi dodatocne heslo ako viditelny text mi hrozne vadilo.
co sa tyka formularu, viem o tom, je to prisposobene len pre firefox. skusim s tym cosi urobit.
#6 Piki: aj s tebou musim suhlasit. bezpecnost tu nie je od toho aby nieco ulahcovala, ale aby chranila. ludia si na nu musia zvyknut.
#7 akira: ako som pisal v clanku, toto podla mna uzivatel nevie. vies si sam zhodnotit, aku prioritu ma to ktore konto na tom alebo onom webe? ja sam to neviem, kedze ani neviem, ake prepojenia na tom webe existuju a kam mozu viest. dnes to zacina byt nadludska uloha
#8 dusoft: nie je 120 fps vela? podla mna staci uplne bezna kamera, kde obrazok za obrazkom aj tak zistis, kde kto klikol, pretoze taku rychlost nevyvinies. 25 (resp. 50i) fps, ja mozno dokazem napisat tri pismenka za s, sice som to nikdy nemeral, no i tak myslis ze bezna kamera to stiha relativne v pohode.
U jednoduchých hesel, pokud se člověk dívá na klávesnici přes rameno, se to heslo dá často vypozorovat takě.
Nicméně ať už je zobrazování jakékoliv, za bezpečné heslo považuji takové, které si normální člověk nezapamatuje, když ho před sebou vidí méně jak dejme tomu 5 sekund (pokud nemá zvláště vyvinutou fotografickou pamět, přirozeně). To sice neřeší problém s kamerou, ale úroveň zabezpečení to pro běžné situace razantně zvýší.
Riesenie davat heslo do textoveho pola s vypnutym autocomplete:
1.) parameter autocomplete nie je validny (xhtml)
2.) vypne sa tym doplnanie poloziek v celom formulari
3.) nepracuje to zarucene vo vsetkych beznych browseroch
V zasade si myslim, ze niektore weby – odvazlivci, mozu davat aj bezhviezdickove hesla, avsak pre nejake masove rozsirenie by to chcelo zmenit standardy (ten autocomplete aby bol validny) a pripravit na to aj browsere.
BTW: brutalne nechutnym riesenim je nezobrazovat heslo vobec (da sa tak nastavit truecrypt pri boote), avsak ani takato paranoidna forma nepomoze proti niektorym uvedenym formam odchytavania hesla.
#11 Jan Garaj: autocomplete=”off” je nevalidne? to vazne? tak to som vobec netusil.
autocomplete sa da aplikovat len na input, co znamena, ze sa vypne doplnanie len v jedinej polozke, nie v celom formulari.
ako hovoris, toto je len jedna cast, kedy ti moze zmiznut heslo a povedzme si na rovinu, najmenej pouzivana. urcite ti heslo zmizne skor inym sposobom ako takto.
Obávam sa, že kamery odkazované cez link v článku by boli absolútne nepoužiteľné. Alebo som zle prešiel ten ich web. Tam som ale našiel len IR kamery. Pozor, tie si nemýliť s termokamerami. IR je na nočné videnie, prisviecuje si IR svetlom a tá sa taká kamera urobiť aj z webkamery, návodov na nete sa dá nájsť dosť. Termokamera pracuje na troľku inom princípe. Tým nechcem povedať, že úmýsel použiť ju je zlý, ale odkaz na kamery je zlý. Samotné termokamery nie sú vôbec najlacnejšia záležitosť :) PS: termokamery používajú firmy, čo robia zatepľovanie “na vyššej úrovni”. :) Hľadaj v G “termovízia” …
#13 Anton Piták: mozno mas pravdu. ja som mal tych odkazov tonu, jeden z nich som vybral. nasiel som firmu, ktora to pouziva na vsetko mozne vratane skumania budov, sledovania stavu ludskeho tela, atd. odkaz si uz snad kazdy dohlada sam. je to len priklad
Zakryt klavesnicu pri pisani hesla je vzdy lahsie ako zkryt klavesnicu a sucastne aj monitor.
Ten, kto si mysli, ze hviezdicy nie su prinosom k bezpecnosti, asi nikdy nechodil na gymnazium a na vysoku skolu. Alebo na akekolvek miesto, kde su v pocitacovej ucebni desiatky studentov vlavo, vpravo, a pochopitelne aj za vami stojaci, cakajuci na volne PC. A medzi nimi niekolko takych, co sliedia a zistuju hesla. A potom robia zaskodnicku cinnost. Toto je nieco, co som osobne zazil a ako spravca siete v jednej takej institucii viem, ze keby sa nehviezdickovali hesla, bezpecnost by bola o niekolko radov nizsie. Berte to ako nazor “z praxe”. Hviezdicky su uzitocne a potrebne.
@comp: a ako to zabrani odchytavacu hesiel, za ktory si mal znizenu znamku zo spravania? :D
k clanku: ja som tiez za, pretoze hviezdicky zvysuju bezpecnost.. “pre” dovody ma vobec nepresvedcili, aby som prestal hviezdicky pouzivat ;)
mohol by mi autor clanku ozrejmit, ake je to “termalne teplo” ? :)
#18 robo: mal som na mysli teplo, ktore zanechava clovek a je ho mozne sledovat cez kameru citlivu na teplo. asi so nezvolil spravny nazov, ale snad to taky precin nie je aby si nerozumel o co mi islo ;)
Podľa mňa by odstránenie hviezdičiek nebol vôbec dobrý krok ani z hľadiska bezpečnosti ani použiteľnosti.
1. Ľudia sú leniví, napokon to je aj jedna z hlavných téz, z ktorých Nielsen často vychádza, takže si naopak nemyslím, že používatelia by vedeli správne vyhodnotiť nebezpečenstvo. Zaškrtnúť check box vyžaduje väčšinou vziať do ruky myš a kliknúť, kým login a heslo sa dá častokrát napísať iba na klávesnici – takže je to pekná otrava navyše. Podľa mňa by teda nechávali heslo odokryté aj v situáciach, keď by bolo vhodnejšie ho zakryť.
2. Pokiaľ neviete s istotou, že ste v miestnosti sami, to či máte niekoho za chrbtom alebo nie môžete zistiť jedine tak, že sa pozriete. Budete sa pred každým zadávaním hesla obzerať po okolí, či máte zaškrtnúť políčko alebo nie? Alebo ho budete zaškrtávať vždy? To je viac problémov ako úžitku.
3. Keby ste boli pri počítači s blízkym priateľom alebo dokonca s frajerkou, zaškrtli by ste vždy zakrytie hesla? Bolo by to pomerne jasné gesto nedôvery, keď kvôli vašej prítomnosti niekto zakryje svoje heslo, keď to normálne nerobí. V prípade, že je to dokonca váš partner a pri prihlasovaní na svoju emailovú schránku si dá tú námahu kliknúť na zakrytie hesla aby ste sa nemohli dostať k jej/jeho mailom, môže to vyzerať podozrivo. Takto začne narastať počet ľudí vo vašom okolí, ktorí poznajú vaše heslá, navyše s frajerkou sa samozrejme môžete neskôr rozísť a s priateľmi pohádať, či prestať stýkať, takže to už časom zďaleka nemusia byť ľudia, pri ktorých vám nebude vadiť, že ho poznajú.
4. Užívatelia sú navyknutí na to, že heslá sa hviezdičkujú. Bez hviezdičiek budú podľa mňa zmätení, či nepíšu heslo do nesprávnej kolonky a zároveň sa – ako už niekto spomínal u nich zníži dôveryhodnosť stránky / aplikácie.
5. Podľa mňa je to veľmi zlý nápad, snáď najhorší aký som kedy u Nielsena čítal. :)
Vsetky Unix/Linuxy to maju riesene tak, ze pri logine vam nepise ani hviezdicky, ani pismena, zlata stredna cesta a mne vyhovuje. ;)