사용성의 구루 제이콥 닐슨 아저씨가 6월 23일자 Alert Box에서 "Stop Password Masking"이라는 제목으로 "비밀번호를 땡땡처리해서 안보이게 해주는건 유저를 피곤하게 만들어 사용성을 저해시킨다. 일반적으로 땡땡으로 처리하는건 보안상 별로 도움이 안된다. 그냥 로그인 실패 삽질만 하게 될 뿐"(Usability suffers when users type in passwords and the only feedback they get is a row of bullets. Typically, masking passwords doesn't even increase security, but it does cost you business due to login failures.) 이라고 주장했습니다.

대부분의 웹사이트나 어플리케이션은 유저가 복잡한 비밀번호를 입력하는 동안 구분할 수 없는 블릿 문자(●●●●●●●)를 사용해 비밀번호를 제대로 입력했나 구분할 수 없게 하고, 결국 잘못된 비밀번호를 입력하여 로그인에 실패하게 되는 삽질을 시키고있으니, 이젠 비밀번호를 그냥 까서 보여주자는 말입니다.

뒤에서 누가 어께 너머로 몰래 쳐다볼 수 있기 때문에 이 방법이 효과가 있다고들 하는데, 이건 사실 보안에 도움이 전혀 안됩니다. 아예 작정하고 나설 경우에 키샤크 같은 키로거를 키보드와 컴퓨터 사이에 끼워서 중간에 입력 내용을 낼름 할수도 있고, 키보드 입력하는 모습을 보고 받아 적을수도 있으니까요. (가장 중요한건 대부분 웹사이트에 로그인할때 뒤에서 아무도 안쳐다본다는거죠.)


비밀번호 감추는건 특히 모바일 장비를 사용할 때 유저 테스트에서 사용성 문제를 증가시키는걸로 나타났다고 합니다. 또한 이는 데스크탑 유저에게서도 많이 보이고요.
비밀번호를 감추는건 아래의 두가지 사용성 문제를 낳습니다.



뭐 유저들은 간혹 피씨방이나 ATM 사용시 진짜 뒤에서 쳐다보는 사람들에게 비밀번호를 슈킹당할 위험 상황에 처하기도 합니다. 이 경우 금융 기관 사이트 등에 한해 비밀번호를 감출건지 체크박스를 보여주는것도 좋은 방법일거라네요. 디폴트로 체크해놔도 되고요.

사용성과 보안성의 사이에는 줄다리기가 있을 수 있고, 어떤때는 보안성이 이긴답니다.
대부분의 경우에 유저들은 비밀번호를 그냥 까서 보여줄 때 고마워할거고, 매출은 증가할거고, 보안성은 조금 높아질거라네요.

------------------------

흠. 일단 닐슨은 실제로 별 도움 안되니 비밀번호 감추기를 중단하자는데요, 전 좀 의문입니다. 과연 비밀번호를 까서 보여주면 유저들이 고마워할까요? 저는 한창 중딩때 어떤 웹사이트 가입했는데, 이때 가입 성공 화면에 "당신의 아이디는 miriya이고 비밀번호는 1234"입니다. 하고 떡하니 보여주는걸 보고 화가 치밀어올라 메일로 욕을 퍼부운 적도 있었는걸요. "야 이자식들아 뒤에 누가 서있었으면 어쩔려고 했어"

사실 우리 뒤에 누가 서있지 않더라도, 비밀번호를 입력할 때는 이유 없이 불안하기 마련입니다. 괜히 뒤쪽에 눈치보이고요. 당장 옆에 친구가 앉아있는데, 노트북으로 비밀번호 입력할때 신경쓰이는 경험을 한건 전 인구에 걸쳐 흔한 경험일겁니다. 전 당장 ATM에 비밀번호 입력하는데 손만 들어가는 가림막이라도 쳐놨으면 좋겠습니다.

당장 닐슨의 말을 받아들여 비밀번호에 마스킹을 해제할 경우, 얼마나 엄청난 CS 폭풍에 휘말리겠습니까? 마스킹에 대한 체크박스를 만들어주는건 좋은 생각입니다만, 디폴트로 벗겨놓는건 큰 문제가 될 수 있을것 같네요. 여러분들의 생각은 어떠신가요?