viernes, 9 de noviembre de 2007

Tarjeta de coordenadas y accesibilidad

Artículos relacionados
[17-12-07] Captchas y la W3C




Como medida de seguridad, la mayoría de las entidades financieras proporcionan a sus clientes una tarjeta de coordenadas para poder firmar cualquier operación en sus bancas online.

En la mayoría de estas bancas, y también por razones de seguridad, cuando te piden determinada coordenada no te permiten escribir directamente el número en la caja de texto, sino que has de seleccionar el resultado pulsando con el ratón en un panel gráfico. Estas soluciones dependen de funciones JavaScript que capturan la zona de la imagen que ha sido pulsada. Evidentemente este panel gráfico no incluye "alt" ninguno.

Ejemplo de introducción de coordenadas mediante panel gráfico


- Ejemplo tomado de Bankinter -



Los problemas de accesibilidad son evidentes, los usuarios que no dispongan de ratón, que sean invidentes, que no tengan las imágenes activas, o que su navegador no admita o no tenga activo el JavaScript no podrán realizar ninguna operación que requiera firma.

Bankinter, que es la entidad que en la actualidad más se preocupa por la accesibilidad, permite cambiar el tipo de firma de las operaciones:

La introducción de la coordenada en la firma de cualquier operación se realiza a través de un panel gráfico que exige la utilización del ratón. Esta forma de operar resulta inaccesible para personas con ciertas discapacidades visuales o físicas. Y para ellos hemos incluido la posibilidad de introducir una suma de coordenadas utilizando el teclado.

Además Bankinter proporciona una tarjeta de coordenadas en formato braille, sino de nada serviría todo lo demás.

En un principio puede parecer una idea estupenda, es una solución que conjuga la seguridad y la accesibilidad a la hora de insertar la coordenada.

¿Pero esta solución de Bankinter es realmente accesible?

Tengo un amigo, cliente de Bankinter, que accede a menudo a la banca a través del móvil, de modo que siempre se le muestra esta forma alternativa de incluir la coordenada.

Este amigo ha bautizado a Bankinter como "el banco que me recuerda periódicamente que soy lelo". Esta persona tiene estudios superiores, pero cuando tiene que sumar de memoria, por ejemplo, 76 y 48, sin poder echar mano a la calculadora, se suele equivocar, "se me queda una cara de idiota que me dan ganas de cerrar y hacer la transferencia desde otra entidad". La realidad es que no estamos aconstumbrados a realizar operaciones matemáticas de memoria.

Si esta es su experiencia, ¿cuál será la de una persona con menos estudios? ¿o una persona mayor? ¿o una persona con alguna discapacidad cognitiva?

¿Te imaginas tener que hacer esto en ING cuyas coordenadas tienen 3 dígitos o el "la Caixa" que tienen 4?

Otras entidades han solucionado el problema de forma más drástica. El usuario puede, bajo su responsabilidad y firmando el consiguiente documento, prescindir de la firma con tarjeta de coordenadas. Estos usuarios firman sus transacciones mediante usuario y contraseña. Es evidente que esta tampoco es la solución al problema, se discrimina a las personas con discapacidad ofreciéndoles una alternativa menos segura que a los usuarios sin discapacidad.

Podría pensarse que no merece mucho la pena darle vueltas al asunto, puesto que en un par de años todas las transaciones se firmarán de una forma segura de verdad, mediante el DNIe, pero esto sí que supone un reto de accesibilidad importante (Accesibilidad, firma electrónica y DNIe en el ámbito de las Administraciones Públicas). Como me decían el otro día "desgraciadamente, cualquier mejora en la seguridad suele supone una menor accesibilidad".

Por tanto es necesario seguir buscando una alternativa segura, usable y accesible.

Artículos relacionados
[17-12-07] Captchas y la W3C

7 comentarios :
Enrique dijo...

Como bien dices, es el avance de la tecnología. Y creo que es normal que en principio, para lograr un nivel de seguridad bueno, se vean afectadas otras areas. Si supiéramos de antemano las consecuencias de los adelantos, supongo que resolveríamos los problemas, pero eso es imposible, por lo que para mejorar, se debe rectificar o mejorar los productos después de sacarlos.

Un saludo.

ramonono | Maeghith dijo...

A pesar de no ser un experto en seguridad, ni siquiera un aficionado, me parece a mi que ese tipo de paneles no es realmente un aumento en la seguridad, sino sólo un aumento en la percepción de seguridad, lo que es peor todavía, aunque puede que esté confundiendo estos con los que te hacen introducir la contraseña directamente con el ratón (bajo el pretexto de evitar los keyloggers).

De hecho, los sistemas de firma electrónica (firma electrónica real, no lo del panel, sino lo que te dan en la FNMT) creo que no suponen un impedimento a la accesibilidad mayor que el de los paneles que muestras, ya que este tipo de firmas lo suele gestionar el sistema operativo de forma bastante transparente.

El tema del amigo al que le cuesta sumar (a mi también me pasa) es otro recordatorio de que en realidad todos somos minusválidos (sólo que la mayoría de la gente no se da cuenta).

Olga Carreras dijo...

Estos paneles sí que aumentan la seguridad, puesto que impiden que se capturen las teclas que pulsas.

Y la firma electrónica sí que tiene problemas de accesibilidad:
Ver artículo

Darth Tumi dijo...

Estoy de acuerdo tanto con ramonono como con Olga.

He visto troyanos que capturan como imagen una zona de 20x20 de la pantalla cada vez que haces click. Resultado: cada tecla pulsada está capturada. Pero sí que es cierto que dificulta el ataque.

Y ese es el único objetivo de la seguridad: dificultar el ataque. Porque sólo hay manera de evitarlo del todo (parafraseando al Director de Seguridad de una Entidad Financiera), que es que no exista el canal Internet.

P.D: Muy bueno, de hecho yo cambiaría el título del post por el de "El banco que me recuerda que soy lelo" :-)

Roger Carhuatocto dijo...

Según el "Principle of Psychological acceptability" debemos cuidar que las UI sean seguras y fáciles de usar, pero esto es muchas veces dificil de alcanzar. Este es el reto.. para ello existen recomendaciones para el diseño de software seguro y nunca debemos perder las recomendaciones sobre Usabilidad.

En el fondo, el reto es saber balancear ambos elementos.

Saludos

-roger

Alberto Caso dijo...

Olga dijo...
«Estos paneles sí que aumentan la seguridad, puesto que impiden que se capturen las teclas que pulsas.»

Pero precisamente por si alguien «escucha» lo que escribes (por captura de teclas o por el medio que sea) es por lo que se usa una tarjeta de coordenadas, porque aunque te capturen uno o varios códigos, no sirve de mucho ya que te faltan otras muchas coordenadas (la de Bankinter por ejemplo tiene 100).

Al elegir la modalidad «accesible» deberían simplemente advertirte de la posiblidad de que alguien capture tu teclado y asumir tú el riesgo. Lo de las sumas, que para lo único que sirve es para aumentar virtualmente el número de coordenadas (a 100x100=10000), a mí tampoco me parece accesible.

Saludos.

Darth Tumi dijo...

Alberto, te corrijo para darte la razón: con la suma se incrementa la seguridad pero no tanto:

- Para los casos de "escucha" o haber cazado alguna coordenada, efectivamente la probabilidad de acierto pasa de 1:100 a 1:10000.
- Pero para los intentos al azar, la probabilidad de acierto sigue siendo la misma, 1% (o mejor dicho, 3% si hay tres intentos y el sistema continúa enviando la misma coordenada como desafío)

Publicar un comentario en la entrada