Nielsen, se refiere, que día de hoy aun es posible encontrar muchos sistemas que no utilizan el "single sign-on" que recomendaba en 1986 en sus "guidelines".
Saludos -----Mensaje original----- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] En nombre de Diego Gálvez Enviado el: martes, 18 de octubre de 2005 13:52 Para: [email protected] Asunto: [cadius] Páginas de error de usuario: Usabilidad vs Seguridad Buenas, es mi primer mensaje a la lista, así que espero que esta cuestión no se haya resuelto antes... En principio entiendo que, desde el punto de vista de experiencia de usuario, a la hora de mostrar un mensaje de error cuando falla la autenticación en una web, es aconsejable al menos distinguir entre usuario no conocido y contraseña incorrecta, tal y como se recomienda en el artículo de Usolab: http://www.usolab.com/articulos/enero_02.php Por otra parte, al intentar proponerlo, me comentan desde nuestro departamento de Seguridad que "Dar esa información, permite obtener de forma automatizada todos los usuarios del sistema. Como muchos usuarios emplean claves o iguales al login o palabras de diccionario, la seguridad de nuestro site se vería comprometida de un modo trivial." Además me invitan a mostrarles algún ejemplo de un banco que lo esté haciendo. Por ejemplo, en gmail dan un mensaje único en ambos casos: "El nombre de usuario y la contraseña no coinciden. (Ha escrito usuario_yo)" Aunque cuando detectan que intentas varias veces, te sacan captchas. ¿Sería esa la solución para evitar el problema de la obtención automatizada de la lista de usuarios? Otro ejemplo, en Cajamadrid igual: "IDENTIFICADOR O CLAVE INCORRECTA" ¿Creéis que hay alguna forma de proporcionar al usuario esta información de retorno, que yo creo que es útil, sin comprometer la seguridad del sistema? ¿Conocéis algún ejemplo? Otra cosa, ¿alguien sabe a qué se refiere Nielsen cuando dice: "Too bad most systems still lack the login interface recommended in 1986." en el artículo sobre la persistencia de las directrices de usabilidad?: http://www.useit.com/alertbox/20050117.html Muchas gracias Diego Gálvez [EMAIL PROTECTED] _______________________________________________ altas, bajas y modificaciones: http://www.cadius.org/lista/opciones.html _______________________________________________ altas, bajas y modificaciones: http://www.cadius.org/lista/opciones.html
