Estimado Diego, Mi experiencia me dice que los del departamento de seguridad de tu banco (que lindo suena :P) tienen razón. Y me parece que, como en muchos otros casos, google es un buen ejemplo a seguir...
Mi granito de arena Saludos, Esteban ----------------------------------------------------------------------------- www.FactorHumano.com.ar <http://www.FactorHumano.com.ar> www.INMO.com.ar <http://www.INMO.com.ar> www.ERecetas.com.ar <http://www.ERecetas.com.ar> El día 18/10/05, Diego Gálvez <[EMAIL PROTECTED]> escribió: > > Buenas, > > es mi primer mensaje a la lista, así que espero que esta cuestión no > se haya resuelto antes... > > En principio entiendo que, desde el punto de vista de experiencia de > usuario, a la hora de mostrar un mensaje de error cuando falla la > autenticación en una web, es aconsejable al menos distinguir entre > usuario no conocido y contraseña incorrecta, tal y como se recomienda > en el artículo de Usolab: > http://www.usolab.com/articulos/enero_02.php > > Por otra parte, al intentar proponerlo, me comentan desde nuestro > departamento de Seguridad que "Dar esa información, permite obtener de > forma automatizada todos los usuarios del sistema. Como muchos > usuarios emplean claves o iguales al login o palabras de diccionario, > la seguridad de nuestro site se vería comprometida de un modo > trivial." > > Además me invitan a mostrarles algún ejemplo de un banco que lo esté > haciendo. > > Por ejemplo, en gmail dan un mensaje único en ambos casos: > "El nombre de usuario y la contraseña no coinciden. (Ha escrito > usuario_yo)" > Aunque cuando detectan que intentas varias veces, te sacan captchas. > ¿Sería esa la solución para evitar el problema de la obtención > automatizada de la lista de usuarios? > > Otro ejemplo, en Cajamadrid igual: > "IDENTIFICADOR O CLAVE INCORRECTA" > > ¿Creéis que hay alguna forma de proporcionar al usuario esta > información de retorno, que yo creo que es útil, sin comprometer la > seguridad del sistema? > ¿Conocéis algún ejemplo? > > Otra cosa, ¿alguien sabe a qué se refiere Nielsen cuando dice: "Too > bad most systems still lack the login interface recommended in 1986." > en el artículo sobre la persistencia de las directrices de > usabilidad?: > http://www.useit.com/alertbox/20050117.html > > Muchas gracias > > Diego Gálvez > [EMAIL PROTECTED] > > _______________________________________________ > altas, bajas y modificaciones: > http://www.cadius.org/lista/opciones.html > _______________________________________________ altas, bajas y modificaciones: http://www.cadius.org/lista/opciones.html
