martes, 12 de marzo de 2013

Contraseñas gráficas

En el número de agosto de 2012 de la revista ACM Computing Surveys se publicó el artículo Graphical passwords: Learning from the first twelve years.

(Por cierto, la web de ACM Computing Surveys es horrible, aunque sea una de las revistas más prestigiosas en el mundo de la computación)


Si dispones de un teléfono móvil con pantalla táctil, seguro que sabrás lo que son las contraseñas gráficas: en vez de introducir la típica contraseña de caracteres (letras y números), se deben conectar ciertos puntos que aparecen en pantalla o se debe realizar un dibujo.

Según este artículo, las primeras contraseñas gráficas aparecieron hacia el año 1999. Ofrecen dos supuestas ventajas: son más fáciles de recordar (lo que aumenta su usabilidad), y son más fuertes ante un ataque de tipo adivinación.

Desgraciadamente, en este artículo no se estudian los problemas de accesibilidad que pueden presentar las contraseñas gráficas. Sólo se hace una pequeña referencia a ello en el apartado 8.1 Target Users:

Characteristics of the intended users must be taken into account when designing or selecting an appropriate graphical password scheme. The expertise level of target users may dictate the acceptable complexity of the interaction and the level of training required or expected. The frequency of use may also have a significant influence on usability. Frequently accessed systems should be quick to use and may rely more heavily on users’ memory, as frequent repetition aids memory. If passwords are used for infrequently accessed systems, they must be especially memorable, since memory decays over time. Issues of accessibility may arise since different user populations, such as the elderly, have different requirements. Many of the systems we have discussed implicitly require users with good vision, potentially including good color vision (for recognizing cues) and good motor skills (for entering sketches or accurate clicks on an image). Design of graphical password systems therefore needs to either address these issue , provide alternatives, or be very aware of the limitations they impose on who will be able to successfully use the software. Because authentication systems by their nature act as gatekeepers to computer systems and services, these issues must be taken very seriously and should be addressed in proposals for new schemes.