上个月,程序可用性(Usability)领域的专家Jakob Nielsen指网站把用户输入的密码显示为"*"的设计并没有太大的安全价值,而应采用明文密码方案。而安全专家Bruce Schneier此前也曾对这种意见表示了赞同,不过他近日却表示准备收回自己对这种看法的赞同意见。
“不采用明文显示密码的设计让我头疼了很久,”Schneier当时对OUT-LAW.COM网站的记者称:“大部分情况下,用户担心密码被人偷窥不过是杞人忧天。输入密码时身边如果有人接近那么用户自然会有所警觉,相反,由于没有明文显示,输密码的时候出了错也没有办法看出来。”
Schneier后来把这段访谈放在自己的博客上供读者评述,有超过160名读者对这次访谈进行了评述,而大部分评论都认为Schneier当时的意见是错误的,现在Schneier也承认自己可能真的给出了错误的意见。
“也许我当时太油嘴滑舌了点,”他周五在自己的博客中这样写道:“就像其它的安全措施一样,非明文密码技术具备一定的安全价值,但它也不是包治百病。”
他在新文章中再次强调密码被偷窥的可能性极小,不过他又写道:“但这并不意味着密码就一定不会被偷窥,而按照很多读者的意见,非明文密码可以大大减小偷窥的威胁性。”Schneier现在转而称赞黑莓和苹果手机产品中输入密码时,会先显示明文然后再用“*"替代明文的做法。他称:“这种做法显然综合考虑了各种因素。”
