26
Mai 10
publicado por andr3, às 16:46 | |

Há umas semanas, Jakob Nielsen levantou uma questão pertinente no seu artigo "Stop Password Masking".

Será que devemos continuar a ocultar as palavras-passe nos formulários? (na web)

Os seus argumentos são fortes:

  • Muitas vezes estamos a navegar sozinhos sem ninguém a olhar-nos por cima do ombro;
  • Se os utilizadores puderem confirmar antes de submeter um formulário, poderão usar palavras-passe mais fortes e complexas.

Concordamos que questionar convenções e padrões que foram emergindo trazem sempre valor e se daí sair uma experiência mais segura devemos apostar nela.

Estaria o Nielsen certo?

No entanto, não basta levar uma questão hipotética e seguir o instinto. Assim sendo, conjuntamente com o Labs SAPO da Universidade de Aveiro (Ana Veloso & Óscar Mealha 1) conduzimos uma série de testes com utilizadores por forma a responder às seguintes questões:

Será que os utilizadores...

  • ...reparam num elemento novo no formulário de login?
  • ...compreendem o que esse elemento vai fazer antes de o activarem?
  • ...têm receio de usar ou usariam no dia-a-dia?

(saltar para a conclusão)

Para obter respostas, preparámos uma cópia do formulário do SAPO Login (o single-sign-on do SAPO) com uma checkbox adicional, como se pode ver na imagem.

Formulário de Login usado nos testes

Depois conduzimos uma série de entrevistas com utilizadores reais em que pedíamos para fazer login normalmente... seriam observados os movimentos dos olhos recorrendo a um eyetracker e no final do teste responderiam a um inquérito para avaliar a percepção da alteração.

Foram conduzidas 42 entrevistas (61% do sexo Feminino, 63% entre os 21-30 anos e 63% com mais de 20 horas semanais de uso da Internet).

Resultados

Conclusão (dos testes): A percentagem de utilizadores que viu a opção de mostrar a password coincide com os resultados do inquérito (38%). Dos que viram a opção, 22% não percebiam para que serviria e 15% tinham dúvidas.

O uso do eyetracker foi importante para avaliarmos a solução a nível de design. Deu para perceber se a introdução duma checkbox num sítio não muito próximo do fluxo normal do olhar seria o suficiente para obter a atenção (ie, olhar focado e não olhar periférico) do utilizador. Não o colocámos no fluxo do olhar para discernir entre o "Lembrar-se de mim nos próximos 15 dias", uma vez que muitos utilizadores não lêem as instruções neste caso.

Bom, aqui ficam os relatórios obtidos do eyetracker.

Heatmap dos olhares Áreas descobertas....

Pelos resultados, não vimos necessariamente nenhuns alertas graves. As pessoas geralmente não se assustaram pelo que faltava um derradeiro teste final. Colocar estas alterações num ambiente de produção mas controlado para medir o feedback dum parque de utilizadores bastante maior. Como o serviço de Mail estava a preparar-se para um lançamento duma nova homepage, a equipa montou este mesmo sistema no seu novo formulário de login.

Produção: o derradeiro teste de usabilidade

Apesar de termos conduzido os testes e entrevistas com utilizadores, o uso normal em casa tem uma série de factores e condicionantes impossíveis (ou mais difíceis) de replicar em laboratório. Este foi um destes casos.

Após o lançamento da nova homepage, a equipa do Mail manteve-se alerta em relação ao feedback desta pequena mudança. Receberam vários comentários no seu blog, de utilizadores transtornados com esta alteração devido a um cenário muito particular.

Cenário

Num ambiente familiar, vários utilizadores acedem ao mesmo computador e muito frequentemente não tiram partido das sessões separadas para cada um — algo que todos os Sistemas Operativos modernos oferecem.

Neste ambiente, os utilizadores não se importam que os familiares tenham acesso, por exemplo, ao seu email e usam o guardar palavra-passe do browser com regularidade.

Problema

Ao colocar ao alcance de todos, apenas tendo de clicar numa checkbox da página, o mostrar/esconder palavra-passe, quando o browser preenche a caixa de palavra-passe para facilitar o uso do utilizador, estamos também a permitir que qualquer utilizador terceiro possa descobrir qual a palavra-chave inserida.

Tal como referido anteriormente, os utilizadores não se importam que os familiares tenham acesso ao email. Já terem acesso à palavra-chave usada, o caso é bem diferente. Realmente, é algo que qualquer pessoa versada em javascript conseguirá de qualquer maneira. Alguns browsers até o permitem fazer a partir dos ecrãs de definições... mas a checkbox traz essa funcionalidade para a UI principal, que cobre 100% do parque de utilizadores.

Assim sendo... esta funcionalidade foi removida do SAPO Mail e não chegará a ser implementada no SAPO Login.

Conclusão final

O risco de revelar palavras-chave de utilizadores que usem o guardar palavra-passe dos browsers em ambientes mono-utilizador mas com computadores partilhados é demasiado grande para arriscarmos em prol duma experiência mais segura e cómoda.

Sim, pode ser argumentado que os utilizadores não deviam usar sessões partilhadas por questões de privacidade e segurança, mas a verdade é que isto acontece em muitos lares. Não só em Portugal, mas pelo mundo inteiro.

Podíamos prevenir que o browser consiga guardar a palavra-passe, mas isso seria quebrar uma funcionalidade do browser que muitos utilizadores usam e valorizam.

A conclusão a tirar deste caso é que por muito que se façam testes de usabilidade, um factor determinante é o contexto no qual o utilizador interage com as nossas aplicações.

E já agora... O Nielsen estava certo na sua motivação, mas há barreiras que impedem a implementação da sua sugestão.

1: Departamento de Comunicação e Arte - Univ. de Aveiro (http://www.ua.pt/ca/)CETAC.media - Centro de Estudos das Tecnologias e Ciências da Comunicação (http://www.cetacmedia.org/)


Autores
Pesquisar
 
Posts recentes

"Mostrar password" consid...

Arquivo

Fevereiro 2012

Setembro 2010

Julho 2010

Junho 2010

Maio 2010

Setembro 2009

Julho 2009

Junho 2009

Maio 2009

Categorias

todas as tags

Subscrever feeds