samulakun 2009-6-30 17:38
忘记“*”,回归明文:IT专家称密码”加密“并不安全
在进入邮箱等各种需要密码的地方,网站的开发人员都会将用户所输入的密码变为“·”或者“*”显示,美名其曰是为了提高网站的安全性,但是事实真的是如此么?也许变为“·”可以让你周围的人无法窥视到你所输入的内容,但是事实上”加密“的密码并不安全。世界顶级的两位科技领域专家称“星号”密码并不能提高安全性,反而网站的易用性也将大打折扣。
可用性专家(Usability expert)Jakob Nielsen以及安全专家Bruce Schneier称,网站应该立刻停止“隐藏”用户输入的密码,他们称网站此举对用户的安全性没有任何好处。
大多数网站所输入用户名都是可见的,密码则是用“点号”或者“星号”代替,当初设计的初衷是为了不被其他也在看着屏幕的用户窥视到。
但Nielsen称,虽然表面上是一个个的星号,但实际上大部分的密码都是以明文形式输入的,最基本的可用性原则是可以提供反馈以及系统状态的可视化。
Schneier对此发表评论称,他呼吁大家关注Nielsen的意见,并同时称输入错误拼写的密码是经常的事情,同样的密码用户在移动设备上就非常容易输入错误,同时密码以星号形式显示会让人的大脑退化,很有可能过了几个月之后就会忘记之前输入的密码(保存了密码,但是密码以“·”号显示),用户还有可能将这些不容易记住的密码保存到某个文件中,当使用的时候复制、粘贴出来,这才是真正的隐患。
同时,Nielsen也承认,以明文显示确实存在风险,特别是一些诸如网吧之类的高风险环境,这个时候可以提供一个将密码以“*”显示的复选框,比如输入银行账号的时候就该如此。
在线客服(1)