![[Passamynd]](/files/2003/05/mar.gif)
Már ÖrlygssonUm notkun kennitölu við notendaskráningu
Nokkrar almennar vangaveltur um þá hönnunarþætti sem skipta máli þegar kennitala er notuð sem hluti af skráningu notanda í vefkerfum.
To: ucd
hjá molar.is
Í framhaldi af fyrra skeyti um notkun kennitölu sem notendanafns við innskráningu á vefsvæðum, koma nokkrar almennar vangaveltur um þá hönnunarþætti sem skipta máli þegar kennitala er notuð sem hluti af skráningu notanda í vefkerfum:
Fólk á auðveldara með að ryðja út úr sér kennitölunni sinni, en að meðtaka hana. Fólk vill ekki vera ávarpað með kennitölu.
LAUSN: Sjálfvirk uppfletting í þjóðskrá gefur notandanum nafn. Sömuleiðis getur gefist vel að leyfa notandanum að gefa upp (gælu)nafn sem kerfið ávarpar hann með, og/eða er birt á opnum vettvangi.
-
Vefkerfi verða oft(ast?) að sýna notendum sínum þann trúnað að gefa ekki öðrum notendum sem þeir eiga í samskiptum við upp kennitölu þeirra.
LAUSN: Kerfið verður að nota aðskilið, ópersónugreinanlegt ID á notandann svo kennitalan birtist ekki t.d. í vefslóðum á "Public Profile" síðum. M.ö.o. þá mega latir forritarar ekki nota kennitöluna sem einkvæmt auðkenni til að spara sér forritun á einum auka gagnagrunnsdálki.
-
Fólk er líklegra að láta notkun kennitölu trufla sig finnst því kennitalan ekki skipta neinu máli fyrir þá þjónustu sem vefsvæðið veitir.
LAUSN: hönnuðir kerfisins þurfa að spurja sig "er kennitala nauðsynlegar upplýsingar fyrir þessa þjónustu?" og ef svarið er já, þá þarf að tryggja að notendum sé gerð skýr grein fyrir því *af hverju* er verið að biðja þá um kennitöluna.
-
Kerfið má helst ekki leka upplýsingum um hvaða kennitölur eru í notkun og hverjar ekki.
LAUSN: Þegar innskráning heppnast ekki, þá verður kerfið alltaf að gefa sömu villumeldinguna. Kerfið má ekki gefa mismunandi meldingar eftir því hvort lykilorðið var rangt eða kennitalan ekki skráð.
Ath. þó að kerfið *má* gefa sérstaka meldingu ef kennitalan er ógild, þ.e. stenst ekki vartölu-tékk eða er s.k. "Gervimaður". Þá getur kerfið ráðlagt viðkomandi að athuga hvort villa leynist í kennitölunni.
Svo geta þessar upplýsingar líka lekið gegnum nýskráningarferlið, ef sá sem njósnar ákveður að prófa að nýskrá sig með kennitölu fórnarlambsins, til að sjá hvort kerfið hafni skráningarbeiðninni á þeim forsendum að kennitalan sé skráð fyrir.
Þetta vandamál er að mörgu leyti skylt næsta atriði (stolnar kennitölur) og er eiginlega efni í sér pistil um hvernig hægt er að koma í veg fyrir kennitölunjósnir gegnum nýskráningarferli.
-
Kerfið þarf að auðkenna að notendur gefi upp *sína* kennitölu, en ekki kennitölu einhvers annars.
LAUSN: Lausnin á þessu er sjaldnast einföld, og er eiginlega efni í heilan pistil. Þó má nefna tvennt sem hönnuðir ættu að hafa í huga:
a) Ef það "þarf ekki" að tryggja að fólk ljúgi ekki til um kennitölu því að "það skiptir engu máli" af því "svindlarar geta ekki valdið neinum skaða", þá ættu hönnuðirnir að íhuga vandlega hvort það sé yfirhöfuð nokkur þörf á að nota kennitölu við innskráningu. E.t.v. væri bara betra að nota ópersónugreinanleg notendanöfn. (sjá lið "3" að ofan)
b) Ef kerfið/þjónustan er þess eðlis að óprúttnir notendur geta á engan hátt skaðað rétta eigendur kennitölunnar *og* kennitalan tryggir notendum einhvern ávinning (t.d. vinning, bankafærslur, etc.) þá þarf ekki að hafa mjög mikið fyrir því að koma í veg fyrir stolnar kennitölur, því notendur sjá sér beinan hag í því að gefa upp réttar upplýsingar.
Hvað vantar í þessar pælingar? Hverju má bæta við?
Þessum svarhala hefur verið lokað. Kærar þakkir til þeirra sem tóku þátt í umræðunni.