Este documento discute as desvantagens de esconder senhas e possíveis soluções para desktop. Resumidamente: (1) Esconder senhas aumenta erros de digitação e incentiva senhas mais simples; (2) Em desktop, mostrar parte da senha ou usar fundos dinâmicos não funciona bem, pois computadores são compartilhados; (3) Testes mostraram que usuários se importam com privacidade da senha, não com segurança da página de login.
3. Esconder passwords é um problema de
usabilidade
• Os utilizadores não veem o que estão a escrever,
aumentando a probabilidade de errarem a password
• Leva a gerar passwords mais simples e menos seguras, pois
são mais fáceis de escrever sem as ver
11. Experiências em Desktop
Ao longo do tempo, têm sido feitas algumas experiências com
várias formas de “não esconder” totalmente as passwords em
ambientes desktop.
A principal diferença é que em mobile, o dispositivo é mais
pessoal e a inserção de passwords é feita em situações mais
facilmente controláveis em termos de segurança e proteção do
ecrã.
13. Experiências em Desktop
Aplicação de um fundo dinâmico com letras num tom diferente,
que permita ao mesmo tempo dificultar um “olhar sobre o ombro”
para ver a password, mas ao mesmo tempo facilitar a
visualização dos caracteres para quem está a escrever
14. Experiências em Desktop
Usar checkboxes para mostrar ou esconder as passwords.
Existem inclusivamente algumas guidelines sobre como e quando
a password pode ser mostrada, ex: a opção de mostrar a
password ser sempre de opt-in
15. Experiências em Desktop
Outras soluções incluem mostrar a password apenas enquanto o
campo tem focus, ou seja, quando o utilizador está a escrever
16. Testes
Em 2011 testámos uma
destas opções no SAPO
Login.
Foi feito um teste A/B em que
uma determinada
percentagem de utilizadores
via uma checkbox para
mostrar a password.
18. Resultados
A maior parte dos utilizadores tem as passwords guardadas no
browser, o que significa que os dados são preenchidos
automaticamente ao abrir a página.
Os PCs são muitas vezes dispositivos partilhados entre vários
utilizadores.
Isto significa, que um utilizador que abra uma página onde
estejam guardadas passwords pode facilmente clicar na
checkbox e ficar a saber a password do outro utilizador.
19. Resultados
Aparentemente, os utilizadores não se preocupam com a
segurança do acesso aos sites (ex: página de login com
password guardada em que basta clicar no botão para fazer
login), mas preocupam-se em que outros possam saber
exactamente qual é a sua password, pois a mesma é
normalmente usada para outros sites que poderão não estar
guardados no browser (ex: homebanking)
20. Novidades recentes
O Internet Explorer 10 adicionou uma funcionalidade que permite
mostrar os caracteres de uma password.
21. Versão de compromisso
Existem também algumas versões alternativas que ajudam a não
esconder a password em determinadas situações (onde os
problemas de ver a password de outra pessoa não se aplicam).