<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Dec 3, 2013 at 2:56 AM, Peter Gutmann <span dir="ltr"><<a href="mailto:pgut001@cs.auckland.ac.nz" target="_blank">pgut001@cs.auckland.ac.nz</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">"Wendy M. Grossman" <<a href="mailto:wendyg@pelicancrossing.net">wendyg@pelicancrossing.net</a>> writes:<br>

<br>
>P.S. I am really fed up with elderly females always being the go-to example<br>
>of the clueless user.<br>
<br>
</div>They're not being used as examples of clueless users, they're representative<br>
personas.  Geeks have a really bad problem of design-for-the-self, creating<br>
software that's designed for people like themselves.  The best way to combat<br>
this is through usability testing, except that few developers will ever do<br>
that.  </blockquote><div><br></div><div>I disagree. I have looked at a lot of security usability studies and most are utter junk. The problem is that the usability field is really about how to sell stuff to people and focuses on the fifteen minutes or so evaluation that a prospective buyer makes. That has little to do with long term usability.</div>
<div><br></div><div>Test subjects are completely aware that they are in an artificial lab setting. So they are far more accepting of errors etc. thinking that they are accidental rather than part of the test.</div><div><br>
</div><div><br></div></div><div>I think that usability by comparison is a better approach. First take the existing scheme that the user has and examine the number of steps taken to do each operation and the information required to make a decision. Then provide a secure scheme that never requires more effort than the existing one in terms of number of mouse clicks, amount the user is expected to remember, complexity of decisions etc.</div>
<div><br></div><div>Secure systems really do have to be that good for users to actually make use of them. </div><div><br></div><div><br></div><div>Not that testing the end results on users wouldn't hurt. But the approach is used as an excuse for inaction.</div>
<div><br></div><div>Every time we try to improve usability in IETF there is some idiot who will try to TALK US OUT OF IT by saying that we shouldn't try to do anything like that without being Pavlov first.</div><div><br>
</div><div>Demanding testing becomes another way to filibuster progress. </div><div><br></div><div><br></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br>
</div></div>