Archives for posts with tag: usability

Google kondigde begin deze maand aan bezig te zijn met de ontwikkeling van End-to-End. Deze Chrome browser plugin moet het mogelijk maken om in je browser beveiligde email via Gmail te versturen of te ontvangen. Vooralsnog is het een alpha release, en geeft Google slechts de broncode van End-to-End vrij. Er is dus nog geen plugin die je kunt installeren, helaas. In deze blog post ga ik dieper in op End-to-End, en wat we daar van mogen verwachten.

Read the rest of this entry »

When playing with my favourite calendar app it struck me it could be improved with a better way to enter the date and the time of an appointment. So I designed a few custom iOS keyboard layouts for this purpose.

Read the rest of this entry »

I recently learnt that the new German identity card (or nPA for neuer Personalausweis has security, privacy and usability problems. This was brought to my attention during a number of discussions with experts, as well as a recent publication by a group of researcher from Frauenhofer SIT. The findings have been verified against the official documentation. The issues concern the eID application on the card that is to be used for authentication on the Internet (and not the electronic passport functionality that is also present on the same card).

Read the rest of this entry »

Het nieuwe pinnen is verwarrend voor gebruikers. Het ‘oude’ pinnen was overal min of meer hetzelfde: je haalde je pas door de sleuf, typte je pincode in, controleerde het bedrag op het scherm en drukte op “ok”. Bij het nieuwe pinnen is het bij elk apparaat anders.

Volgens de officiële website van Het Nieuwe Pinnen gaat het als volgt. Eerst krijg je het bedrag te zien, waarbij je voor akkoord op “ok” moet drukken. Vervolgens met je je pincode invoeren en deze met “ok” bevestigen. Ook komt de oude variant nog voor, waarbij je eerst de pincode moet invoeren, vervolgens het bedrag krijgt te zien en voor akkoord op “ok” moet drukken. Soms moet je eerst aangeven of je met “chipknip” dan wel met “maestro” wilt betalen (ik vraag me af of iedereen wel weet wat “maestro” betekent). Tenslotte zijn er ook pinapparaten waarbij je het bedrag krijgt te zien, en meteen je pincode moet invoeren en voor akkoord op “ok” drukken. Er is dus geen aparte stap waarbij het bedrag wordt goedgekeurd. Dat zijn dus drie verschillende manieren om te pinnen. (En misschien zijn er nog wel meer… ik hoor het graag.) Bij geldautomaten is er ook iets veranderd: soms moet een pincode bevestigd worden door op de “ok” te drukken, soms ook niet.

Ik vind het maar verwarrend, en snap niet waarom de banken niet heel strikt hebben vastgelegd hoe pinapparaten werken, welke stappen daarbij doorlopen worden, en welke (gebruikersvriendelijke) informatie bij iedere stap aan de gebruiker getoond wordt. Voor gebruikers is het makkelijker als het nieuwe pinnen overal hetzelfde werkt. Dan maken ze minder snel fouten, en is het pinnen ook veiliger. Dat lijkt me ook  in het belang van de banken.

Germany has recently issued an identity card, that includes a very basic system for using anonymous credentials. Other countries, including the Netherlands, are considering a similar approach. Such a plastic identity card also contains a smart card chip that allows the card to be used in on-line transactions with service providers

  • to establish the identity of the bearer with high confidence,
  • to put an electronic signature on documents, or
  • to disclose your age or other attribute while remaining anonymous.

While studying these systems, we started wondering whether users would really believe that when disclosing an attribute using such an identity card, no additional personal data is actually revealed in the process. Because when you think of it, using an identity card (whose purpose is to prove your identity) as a means to reveal a certain attribute anonymously seems counter-intuitive at best. It will be very hard to convince the general public that the system can be trusted and is indeed privacy friendly.

Read the rest of this entry »

De Belastingdienst adverteert al een tijd met de slogan: “Leuker kunnen we het niet maken, wel makkelijker”. Het zou mooi zijn als ze het ook wat veiliger konden maken…

Read the rest of this entry »

In security we tend to think that the user is the weakest link. The user chooses bad passwords, or writes them down on a piece of paper. He falls prey to phishing emails, or opens email attachments that happen to contain a virus or a trojan horse. But even given all these examples, is it really fair to say that the user is the weakest link? Read the rest of this entry »