Jakob Nielsen é contra a mascara em campos de senha.
Jakob Nielsen é uma referencia quando o assunto é usabilidade. Polêmico e muitas vezes incompreendido principalmente por designers que veem suas dicas como algo contra a beleza.
Eu não sou radicalmente contra. Muitas coisas que ele diz e argumenta são validas. Ele não é o dono da verdade, por isso segue quem quer. Melhora que é capaz.
Recentemente ele fez um post em seu blog intitulado Stop Password Masking. O texto argumenta sobre a ineficîência em termos de segurança ao se substituir os caracteres digitados por asterisco (*).
Diz ele que quem quer roubar senha não fica olhando a pessoa digitar. Fora que as pessoas geralmente digitam suas senhas quando estão sozinhas em seu computador, tanto em casa quanto no trabalho.
Eu discordo do Nielsen. Um dos principais aplicativos para roubar senha dos usuários, se baseia sem capturar a tela para justamente enxergar o que o usuário digita. Por este motivo muitos sistemas de home bankling chegam a apagar o teclado virtual quando o usuário pressiona o botão correspondente a caractere de senha.
Outro aspecto importantissimo é a perceção de segurança do usuário. O fato do formulario esconder a senha ao ser digitada dá ao usuário uma sensação de segurança. Algo que ele não teria se o campo fosse aberto.
Pode ser que o formato de “digitar senha em uma caixa de texto” seja um formato antiquado e que, por questões de usabilidade, precise ser revisto. Pondero que antes de vermos os aspectos de uso, precisamos garantir os aspectos de segurança.
Diversificação dos meios de validação de usuário, através de biometria – hoje um dispositivo biométrico é barato e tem notebooks que vem com este dispositivo acoplado. Adoção de Tokens que não requerem o uso de campo tipo “password” uma vez que a sequencia de números muda sempre são algumas existentes no mercado.
Mas elas esbarram em alguns fatores bem práticos ligados principalmente a usabilidade. O Token força o usuário a andar sempre com o chaveirinho. Biometria boicota o acesso de terminais sem o leitor biométrico.
Hoje, não vejo outra forma simple e segura de permitir acesso a um usuário que substitua o campo tipo password. Nos teclados virtuais usados pelos bancos está sempre presente o famoso campo que substitui o que é digitado por asteriscos. Mesmo quando usamos aqueles botões com 2 ou 3 opções de caracter alfanumérico, lá estão os asteriscos.
Proponho a reflexão: Como inovar a forma com que validamos o usuário em nosso sistema? Inovar melhorando a usabilidade e acessibilidade para o usuário.