Fedora 19 – neka lozinke budu vidljive!

Administratori koji koriste Fedoru mogli bi se zateći u vrlo neugodnoj situaciji prilikom instalacije devetnaeste inkarnacije ove distribucije. Anaconda, kako se zove softver koji služi za instalaciju distribucije na računalo, prilikom upisivanja administratorske lozinke istu prikazuje nemaskiranu, tj. umjesto zvjezdica prikazuje znakove koje je admin utipkao.

Neočekivana (pa i apsurdna) izmjena učinjena je kako bi se, developeri kažu, olakšalo unošenje lozinki korisnicima i smanjila mogućnost pogrešnog unosa lozinke zbog, primjerice, pogrešno birane nacionalne tipkovnice. Tu svoju odluku, koja je podigla pravu malu revoluciju među korisnicima developeri su pravdali informacijom kako UI dizajneri već dugo vremena ozbiljno diskutiraju o činjenici da maskirano polje za unos podataka kakvo se obično koristi za unos osjetljivih podataka koje tuđe oči vidjeti ne bi trebale (lozinke, brojevi kreditne kartice, identifikacijski brojevi, PIN-ovi...) može kod krajnjeg korisnika izazvati konfuziju.

Kraće istraživanje nezadovoljnih korisnika pokazalo je da ta odluka nije donesena na osnovu nikakvih velikih istraživanja, već na osnovu jedne primjedbe u editorialu Nielsen Norman Group, u kojem se lamentira o stvarnoj činjenici da maskirano polje za unos podataka korisniku ne pruža informacije koje mu pruža nemaskirano polje. Pri tome se tvrdi kako nemogućnost vizualnog praćenja unosa podataka korisnika zbunjuje i frustrira, pa čak i umanjuje sigurnost sustava jer će korisnik lozinku, umjesto da je zapamti, jednostavno kopirati iz nekog svog popisa lozinki koje drži na računalu.

Ta priča, koja datira iz 2009. godine, zapravo je priča o korisničkom sučelju web ili mobilne aplikacije, pri čemu je jedan od spomenutih nedostataka postojećeg sustava opasnost da frustrirani korisnik odustane od ispunjavanja web forme i tako ne prihvati korištenje neke web/mobilne aplikacije, što pak dovodi do financijske štete davatelju usluge zbog izgubljenog korisnika.

O toj se ideji zatim nije bitnije pričalo, dok se na nju u 2012. godini nije osvrnuo UXmovement.com, blog o dizajnu korisničkog sučelja.

I sve bi to ostalo daleko od očiju običnog korisnika da developeri Anaconde nisu, valjda jedini na svijetu, odlučili promjeniti način unosa lozinki tako da one budu vidljive, jer eto – to je napredni, moderni dizajn.

Nažalost, developeri su posve u krivu. Prikazivanje bilo kakve lozinke u plaintext formatu (tj. nemaskirano) promašeno je i opasno iz više razloga:

Prvi razlog je činjenica da svatko u blizini može iskoristiti priliku da "ulovi" lozinku koja je lijepim, čistim i vrlo čitljivim znakovima napisana na zaslonu. Iako procedura upisa lozinke ne mora trajati dugo, ipak je nužno zaštititi zaslon od znatiželjnih očiju: administratori nisu uvijek u prilici instalaciju distribucije raditi u zatvorenoj sistemskoj sobi, sami i sigurni da im nitko ne gleda preko ramena. Instalacije se često izvode na nezgodnim mjestima – javna mjesta su očiti sigurnosni problem, ali i radno mjesto s otvorenim prostorom i kolegama/kolegicama koji šeću uokolo također predstavlja sigurnosni problem!

Drugi, ništa manje paranoični razlog je činjenica da čak i ako u relativnoj blizini nema nikoga, moderni smartphone uređaji posjeduju kamere dovoljno kvalitetne da iz prilične daljine bez većih problema uslikaju zaslon i ono što na njemu piše.

Treći je razlog posve realna mogućnost da administratora netko ili nešto dovoljno dugo omete da ovome popusti pažnja (čitaj: paranoično osvrtanje da se uvjeri da nikoga nema u blizini dok on unosi lozinku), što maliciozna osoba može iskoristiti za svoje zle namjere (ovo je posebice realan scenario na javnim mjestima).

Četvrti je razlog razbijanje tradicionalnog načina rada: nitko, ali baš nitko ne očekuje da će u bilo kojoj aplikaciji unešenu lozinku dobiti prikazanu bez maskiranja; dapače, ovakva promjena bit će neugodno iznenađenje za mnoge jer je ljudi jednostavno – ne očekuju. A da su upravo otipkali lozinku pred tuđim radoznalim očima saznat će tek nakon što dignu pogled sa tipkovnice nazad na zaslon.

Ultimativni, pak, razlog zašto je ova ideja promašena jednostavna je činjenica da od administratora sustava očekujemo da dobro zna što radi i stvari drži pod kontrolom. Implementacija promašene ideje čija je namjena korisniku vulgaris olakšati surfanje u aplikaciju koju primarno, ako ne i isključivo koriste sistemski administratori i drugi ljudi koji bi trebali jako dobro znati što rade – besmislena je poput famozne sličice Clippy-a koji korisnika pita treba li mu pomoć prilikom pisanja pisma.

Naravno, postoje i argumenti u korist te ideje: primjerice, ako administrator ne zna koju nacionalnu tipkovnicu trenutno koristi zaista se može dogoditi da unese lozinku koju kasnije neće moći ponoviti. No, za koliko ste takvih slučajeva u praksi do sad čuli?

Sigurnosni rizici koje donosi "otkrivanje" lozinke daleko nadmašuju potencijalne koristi od onemogućavanja zabune prilikom unosa lozinke. Većini administratora novi način rada predstavlja puno veću glavobolju nego što im olakšava posao; korist od izmjene posve je marginalna, a potencijalna šteta značajno veća.

Iako su developeri isprva (pomalo bahato) odbijali svaku pomisao na promjenu onoga što se po njihovom činilo kao dobra ideja, nakon kraće ali žestoke rasprave nova prijava na Bugzilli ipak je dobila status koji govori kako bi se ova odluka u budućnosti ipak mogla promjeniti.

Tim više što ostatak softvera Fedora 19 distribucije i dalje poštuje princip maskiranja polja za unos lozinke. Tako je Anakonda u nastupu (nadamo se privremenog) developerskog ludila iskočila iz mase i postala antijunak; no, ne treba je promatrati kao izdvojen slučaj jer su i KDE i Gnome developeri imali sličnih bisernih trenutaka, a Canonical je možda i najsurovije demonstrirao stav "mi ćemo po svome, a vi se korisnici fućkajte zajedno sa vašim pritužbama".

No, kao i uvijek, zadnju riječ ipak će imati korisnici.