jueves, 26 de febrero de 2009

La usabilidad en el DNI electrónico

Esta mañana, al irme a conectar a la banca online de ING Direct (ya sabéis, el banco que hace fresh banking), me he encontrado con una agradable sorpresa. El portal me permitía identificarme con mi DNI electrónico.

Hasta la fecha, el único banco (de los que uso) que me permitía utilizar el DNIe era Bankinter, y sólo para identificarme; para firmar las transacciones sigo jugando a los barcos con sus tarjetitas. En cualquier caso, debe agradecer a Bankinter que me avisara que tenía los certificados a punto de caducar (ya que la Policía no te avisa), lo que me permitió renovarlos.

Pues bién, dado que hace algunas semanas me coprometí a ir analizando determinados aspectos del DNIe (y dado que otros bloggers como Montaña Merchán y Martín Pérez están hablando sobre el tema), he aprovechado la operación que tenía que hacer para probarlo y así comentarlo.

Antes, debo comentar que en mi étapa en Doc On Time participé, conjuntamente con la FNMT, en el proyecto que permitió a ING Direct firmar operaciones con los certificados de la FNMT. No permiten identificar al usuario mediante dichos certificados (y tenían buenas razones para ello), pero sí que permiten firmar. Y yo, obviamente, soy uno de los usuarios que utilizan el servicio de firma con certificados (¡espero no ser el único!).

Así que, todo decidido, me he cambiado de navegador (desde Chrome ya suponía que no me iba a funcionar), he abierto el Explorer, y como un campeón he pulsado el botón de "Entrar con DNI electrónico", y después de descargarse un applet perfectamente firmado y, entrar TRES VECES el PIN, pero sin pedirme ningún dato más (otras bancas on line me piden el código de usuario, o incluso el password, ¿para qué?, ¿qué no me identifica bien el DNI?) me ha identificado correctamente. ¡Victoría!. Hasta aquí, los de ING han hecho un buen trabajo.

Ya sin miedo, he ido ha hacer la transferencia que debía hacer y .... aquí la cosa ya no ha ido tan bién. Una vez rellenado el formulario de la transferencia, al pulsar continuar, me ha dado un error de "contraseña incorrecta" (¿Qué contraseña?), y "por motivos de seguridad", me ha cerrado el navegador. Aquí, el trabajo realizado ya no es tan bueno.

Total, que he vuelto a identificarme con el usuario/password habitual, y he realizado la transferencia firmando con el certificado de la FNMT, como siempre. ¡Casi!. He estado muy cerca de conseguirlo. La sensación es que ING sólo ha adaptado el sistema de identificación, pero sigue sin tener en cuenta al DNIe para la realización de operaciones. Espero que lo solucionen pronto.

En cualquier caso, repito que la sensación es que el trabajo realizado para la identificación con DNI es bueno, y el hecho que de que me pida TRES VECES el PIN, no es problema de ING, es problema del DNI.

Por su diseño, al DNIe le han querido dar el máximo de seguridad y, eso ha ido en contra de la usabilidad de forma muy drástica. Con el DNI insertado, por el simple hecho de acceder al almacén de certificados de windows para saber de que certificados dispongo, el driver del DNIe ya solicita el PIN. Esto provoca que, por el simple hecho de abrir el Internet Explorer, este intenta acceder al almacén y ya te pide el PIN. Después cada vez que intentas hacer alguna operación con los certificados del DNIe, te vuelve a peder el PIN. En consecuencia, la experiencia de usuario es horrible.

No hay ningún otro Prestador de Servicios de Certificación que emita certificados en tarjetas criptográficas similares al DNI que ofrezca una experiencia de usuario tan desastrosa y, desde el punto de vista de la Ley 59/2003 de firma electrónica, los certificados reconocidos que emiten tienen exactamente el mismo valor que los del DNI electrónico. Si la usabilidad del DNI no mejora (entre otras cosas), dificilmente se extenderá su uso.

Otro día, hablaré de algún otro aspecto a mejorar.

9 comentarios:

Javier Martín dijo...

Barclays Bank también dispone de, al menos, autenticación por DNIe en su banca electrónica:

https://www.barclays.es/publico/contents/comunes/login_dnie.jsp?lang=es_ES

De momento, no tengo la suerte de poder probarlo ;)

Supongo que el uso real del DNIe sigue siendo el mostrarlo cuando pagas con plástico y el no tener que acudir a una oficina de registro cuando obtienes el certificado de la FNMT. ¿Me dejo algo?

Julián Inza dijo...

Santi,

Estoy de acuerdo contigo de que la usabilidad del DNIe es mala, pero en lo que no estoy de acuerdo es en que aumente la seguridad.

La solicitud del PIN en contextos en los que no es necesario genera al menos dos efectos indeseables:

- Aumenta el riesgo de que el usuario se equivoque al poner el PIN en tanto reintentento rutinario. Esto implica un efecto equivalente al de la "denegación de servicio". Featured by design.

- La propia rutina de teclear el PIN con tanta frecuencia hace indistinguible para el usuario lego si el motivo es que se accede al certificado (el cual contiene información pública para la que no debería ser necesario solicitar el PIN), si se lleva a cabo un proceso de autenticación (que podría hacerse sin PIN o con otro PIN diferente al de firma), o si se lleva a cabo una verdadera firma electrónica que implica voluntad de firmar y compromiso con el contenido (en ejercicio de la función "content commitment" del certificado de FIRMA). Un atacante podría preparar una secuencia de pasos en los que se conduce al usuario a firmar algo que no desea por ingeniería social (de forma semejante a como se le engaña con el phising). Featured by design

Santi Casas dijo...

Julián, estoy plenamente de acuerdo contigo y con tu argumentación (como no podía ser de otra manera ...), pero en el post no digo que aumente la seguridad, si no que era la intención en el diseño ... pero efectivamente, lo que hace es disminuir la seguridad.

luixi dijo...

Buenos días, muy interesante la revisión sobre el DNIe en ING, como trabajador de la Usabilidad me parece que aporta datos a tener en cuenta en futuros desarrollos.

Simplemente apuntar que en Barclays y Caixa Galicia permiten realizar el alta como cliente por internet con DNIe por lo que en principio no haría falta desplazarse a oficinas o enviar papeles.

Anónimo dijo...

Hola. Soy usuario del DNIe y lo utilizo regularmente en páginas como Sanitas, la DGT, Agencia tributaria, etc. No tengo problema alguno en dichas webs pero al intentar entrar en ING via DNIe para gestionar mis cuentas, me sale un error de applet "es posible que su versión del navegador o sistema operativo no estén soportados". Tengo XP service pack 3 y Explorer versión 8. Tal y como comentaba es en ING en la única página que tengo problemas sin permitirme acceder.
Me puse en contacto con ING, pero su servicio de atención al cliente, lamentablemente no está a la altura.
No sé si podrían ayudarme a solucionar este problema, de todas formas, muchas gracias de antemano.
Un cordial saludo,
fernando

Santi Casas dijo...

Fernando,

Siento no poder ayudarte, como bién dices debería hacerlo el servicio de soporte del ING :)

Te encuentras ante uno de los problemas habituales del DNIe y del resto de sistemas de firma electrónica: su uso a través de los navegadores. En general implica usar un componente (applet o Activex) que dependiendo del sistema operativo y del navegador puede generar problemas.

A mi me ha funcionado con Vista e IE7 (normalmente trabajo con Chrome, pero los temas de firma electrónica todavia no funcionan).

Mi único consejo es que pruebes con distintos navegadores.

Juan dijo...

A mi me pasa lo mismo que a anónimo con ING, no me deja utilizar el dnie dando error que el applet de firma no esta disponible. Sin embargo funciono sin problemas con los demas sitios que utilizan dnie:Seguridad social, agencia tributaria, dgt para los puntos etc etc. Es claro que el problema es de ING pero pese a que he reclamado un par de veces me piden les envie los datos de navegador etc y luego ya no vuelven a contestar con nada.

Ignacio dijo...

Tanto pedir el PIN es perjudicial por las siguientes dos razones:

1. Hace que las personas relajemos al mínimo la seguridad del propio PIN

2. Facilita que haya más oportunidades para una persona que quiera averiguar el PIN que tenemos puesto mirando las pulsacones del teclado, grabándolo en vídeo etc.

Coincido con todos ustedes en que esto es un aspecto a mejorar.

Anónimo dijo...

Yo he tenido dos problemas: No me deja entrar a ING si me identifico con el DNI-e, y no me permite hacer operaciones en Barclays.
Actualmente tengo cuenta en Barclays y, hasta hace un mes, podía hacer operaciones identificándome mediante DNI-e. A partir de entonces, después de pedirme pin, claves y demás, se queda esperando y aborta la operación. Según los responsables de Barclays, con el DNI-e no se pueden realizar operaciones; les digo que yo lo he hecho y me porfían que no, que estaré equivocado.
Creo que voy a abrir una cuenta en otro banco, probaré a ver qué tal va la cosa, y me llevaré lo del Barclays en cuanto pueda.