[Owasp-brazilian] Stop Password Masking

Wagner Elias wagner.elias at gmail.com
Tue Aug 4 21:10:16 EDT 2009


Buscando melhorar a usabilidade, olha que idéia "brilhante". Criar um
"hash gráfico" de acordo com a senha digitada para auxiliar o usuário.
http://lab.arc90.com/2009/07/hashmask.php

É impressão minha ou é complicar um processo e ainda facilitar o
Shouder Surfing. Pois, se eu gravo o meu "hash gráfico" eu posso
descobrir a senha de outro usuário olhando o gráfico.

Abs.

2009/6/29 Jeronimo Zucco <jczucco at gmail.com>:
> 2009/6/29 Wagner Elias <wagner.elias at gmail.com>:
>> Jakob Nielsen, escreveu um post sobre o quanto o "Maslking" de um
>> campo de senha atrapalha a usabilidade e não trás segurança alguma, na
>> visão deles.
>> http://www.useit.com/alertbox/passwords.html
>>
>> E obviamente já saíram outros posts sobre o dele:
>> http://threatpost.com/blogs/it-time-stop-password-masking
>> https://blogs.sans.org/appsecstreetfighter/2009/06/28/response-to-nielsens-stop-password-masking/
>>
>> É mais uma discussão daquelas sobre usabilidade x segurança.
>>
>> Eu acho que controles simples como: Masking de senha, auto
>> complete=off são controles simples, mas são melhor que nada.
>>
>> O que vocês acham, vale a pena retirar facilidades como autocomplete e
>> masking de senha para melhorar a usabilidade? É um risco aceitável?
>
> Acho que não vale a pena desabilitar o masking de senha, pois nem
> sempre o usuário se dá conta que pode ter alguém espiando por trás dos
> seus ombros ele digitando a senha (Shoulder surfing). Ou até mesmo um
> spyware gravando telas da sua máquina.
>
>
>
> --
> Jeronimo Zucco
> http://jczucco.blogspot.com
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>



-- 
Wagner Elias - OWASP Leader Project Brazil
------------------------------------------------------------------
Twitter: www.twitter.com/welias
Blog: http://wagnerelias.com
Profile: http://www.linkedin.com/in/wagnerelias


More information about the Owasp-brazilian mailing list