JavaScript  »  Articoli  »  Effetti e controlli Javascript 

Questa è la traduzione dell'articolo The Problem with Passwords di Lyle Mullican, pubblicato originariamente su A List Apart il 9 Febbraio 2010. La traduzione viene qui presentata con il consenso dell'editore (A List Apart Magazine) e dell'autore.

Un recente articolo dell'esperto di usabilità Jakob Nielsen propone un cambiamento fondamentale nel campo della progettazione dei campi per le password sul web. Egli ritiene che sia giunto il momento “di mostrare la maggior parte delle password a chiare lettere così come gli utenti le digitano”, abbandonando il metodo tradizionale che visualizza una serie di asterischi o pallini al posto dell'effettiva password.

La proposta controversa di Nielsen dimostra il principio che la maggior parte delle decisioni riguardanti un progetto necessitano di uno scambio di concessioni. Gli obiettivi degli utenti e gli obiettivi di business non sempre si intersecano. Le preoccupazioni circa sicurezza, usabilità ed estetica spesso si pongono in contrasto. Dobbiamo fissare delle priorità ed equilibrare tali interessi al fine di ottenere degli ottimi risultati in ogni situazione.

È difficile occuparsi di questioni di sicurezza, poiché sono una scocciatura. Vogliamo far conoscere alla gente il grande servizio che abbiamo creato, ma invece costruiamo delle barriere tra utente e applicazione. Gli utenti devono dimostrare la loro identità. Non possiamo fidarci di tutti i dati che vengono immessi a meno che non siano stati completamente depurati.

Sfortunatamente, questa è la realtà. Una grande quantità di traffico web è pericoloso e il furto di dati sensibili è cosa comune. In genere, per accedere ad un'applicazione agli utenti viene chiesto di fornire un nome utente (spesso un indirizzo e-mail), insieme ad una password. Il nome utente identifica la persona, mentre la password dimostra che la persona che inserisce il nome utente è effettivamente quella che ha creato l'account. Questa è la teoria, basata su due assunti:

• Una password non potrà mai essere visibile al di fuori della mente di chi l'ha creata.
• Sia il nome utente che la password possono essere richiamati dalla memoria quando è necessario.

Questo approccio pone un significativo onere cognitivo sulle persone che adoperano siti web che richiedono l'autenticazione. Generalmente, otteniamo molto, ma facilmente si notano i punti deboli del sistema. Le password facili da ricordare sono anche facili da indovinare. Quando le persone sono costrette a scegliere delle password sicure, devono scriverle altrimenti le dimenticano. La risposta abituale è un meccanismo di reimpostazione della password, che naturalmente mina la forza dell'intero sistema. Non importa se la mia password sia crittografata con le cifre più impensabili che l'uomo conosca quando può essere semplicemente azzerata da chi sa quale liceo ho frequentato.

Questo è uno dei motivi per cui Nielsen suggerisce l'abbandono del mascheramento della password. La gente si innervosisce e spesso resetta le password che in realtà non ha dimenticato solo perché l'ha digitata male. Fornendo un feedback chiaro e a chiare lettere si ridurranno gli errori, migliorerà l'esperienza degli utenti e si ridurranno le necessità di implementare alternative meno sicure.

Tuttavia, fare un cambiamento così radicale a un'interazione con l'utente tanto fondamentale potrebbe presentare gravi problemi. Prendiamo in considerazione alcuni contesti in cui si potrebbe aver bisogno di una password da inserire davanti a un folto gruppo di persone, ad esempio mentre si utilizza un proiettore per la sala conferenze. E molti anni di esperienza sul web da parte degli utenti hanno stabilito delle aspettative ben precise su come gli elementi di un form dovrebbero funzionare. La gente ha compreso che il mascheramento della password è stato ideato per la loro sicurezza. Non riuscendo a soddisfare tale aspettativa la fiducia potrebbe essere minata, e non possiamo permetterci di perdere la fiducia dei nostri utenti.

C'è una via di mezzo che possa fornire un feedback e ridurre gli errori nell'uso delle password in modo tale da non sacrificare l'esperienza dell'utente? Almeno due modelli di progettazione affrontano la questione in applicazioni offline, e con un po' di JavaScript possiamo trasferirli sul web.

Altri articoli

Altre guide

Altre newsletter