てきとうなメモ

本の感想とか技術メモとか

password masking

webサイトにログインするときに,パスワードの入力欄は入力しても通常「****」のように隠されてしまうのだが,それがユーザビリティ的によくないと大御所の人が指摘している.

もともとはモバイル機器の話だが,今回ヤコブ・ニールセン氏が提案しているのはデスクトップPCの話.モバイル機器は入力デバイスがしょぼくてパスワードの打ち間違いがよく怒ってしまうので,セキュリティよりもユーザビリティをとりたいというのはよく分かるのだが,デスクトップはそこまでの必要性は感じないかな.

彼が指摘しているマスキングの問題は

  • ユーザがパスワードをミスタイプすることによりユーザが離れていきビジネスチャンスを失う
  • パスワードの打ち込みに自身が持てないので,シンプルなパスワードにしたり,コピペしたりする.

である.だけど,そんなにこの影響大きいかなあ.1つめについてはそこまでミスタイプしないよなと.PC初心者ならあるかもしれないけど.2つめは逆にマスキングを外したとしてユーザのリテラシが上がるかというとそんなこともなさそうだし.

あと,シュナイアー氏とニールセン氏が共に指摘しているのがshoulder surfingはそんなに起こらないという話なんだが,本当にそうなのかな.

しかし、言うまでもなく、本当にスキルのある犯罪者は、キーボードを見るだけでどのキーが押されているかわかる。つまり、パスワードを隠すことはパスワードを嗅ぎ周る相手からの十分な防御には全くならないのである。

さらに重要なことには、あなたがウェブサイトにログインするとき、たいていの場合、そこには覗き込む人など誰もいない。その場にいるのはあなただけで、オフィスにたった一人で座っているのに、心配する必要のないものからの防御のためにユーザビリティを犠牲にして不便を被っているというわけだ。

アメリカは知らないのだが,少なくとも日本のオフィス環境では隣の人のディスプレイが見れてしまうことはよくあると思う.また,スキルのある人が自分の近くにいてスキルの必要な方法でパスワードを盗むよりも,大してスキルのないユーザが自分の近くにいて簡単な方法でパスワードを盗んでしまう可能性の方が高そう.あと,簡単に盗めてしまうという環境が悪意を生み出すこともありそうだし.

あと,スラドの議論もちょっと面白かった

iphonelotus notesのインターフェースは結構面白いと思う