<div dir="ltr">I was helping a relative upgrade their phone OS recently<br>there were about 30 dialogues that popped up: everything from user agreements, to "are you sure you don't want to make this the default program", etc.<br>
each one filled the relative with a fundamental anxiety, and probably rightly so as a wrong answer might mean starting from dialogue 0, or worse, doing things "wrong" or loosing data.<br>there was no learning procedure: each dialogue even if we had seen it before, invoked a new terror in its new context<br>
<br>so this is a very important point: minimizing this (to absolutely minimum), and also whatever method we choose actually reducing anxiety rather than increasing it<br><br>an alternative is to mostly operate zero-click and let those who want to ponder the inevitability of surveillance to verify their fingerprints in the most ascetic of manners by going to an obscure corner of an otherwise human usable app. in any case making life easier for the ascetics is also a nobel cause.<br>
<br>C</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Mar 11, 2014 at 10:35 PM, Moxie Marlinspike <span dir="ltr"><<a href="mailto:moxie@thoughtcrime.org" target="_blank">moxie@thoughtcrime.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
You might enjoy this paper written by a non-cryptographer:<br>
<a href="https://www.usenix.org/system/files/1401_08-12_mickens.pdf" target="_blank">https://www.usenix.org/system/files/1401_08-12_mickens.pdf</a><br>
<br>
In his words, "people feel genuine anxiety when asked if they want large<br>
fries for just 50 cents more."<br>
<br>
Some of my other favorite quotes:<br>
<br>
"'Chains of Attestation' is a great name for a heavy metal band, but it<br>
is less practical in the real, non- Ozzy-Ozbourne-based world..."<br>
<br>
"PGP enthusiasts are like your friend with the ethno-literature degree<br>
whose multi-paragraph email signature has fourteen Buddhist quotes about<br>
wisdom and mankind’s relationship to trees. It’s like, I GET IT. You<br>
care deeply about the things that you care about. Please leave me alone<br>
so that I can ponder the inevitability of death."<br>
<br>
- moxie<br>
<div class="im HOEnZb"><br>
On 03/11/2014 03:33 AM, Tony Arcieri wrote:<br>
</div><div class="HOEnZb"><div class="h5">> I feel like solutions that rely on manual verification of key<br>
> fingerprints fall into this category:<br>
><br>
> <a href="http://i.imgur.com/2bEWKNS.png" target="_blank">http://i.imgur.com/2bEWKNS.png</a><br>
><br>
> I don't think these solutions are providing effective security. I feel<br>
> we need to start from the real needs of real users, and work backwards.<br>
><br>
> One can propose a study for optimum time-based fingerprint verification<br>
> and study fingerprint accuracy, but are fingerprints even a good idea? I<br>
> feel that's where you need to start with any sort of usability study.<br>
><br>
> Cryptocat's usability studies are addressing this problem. Short<br>
> Authentication Strings are addressing this problem. Solutions for<br>
> optimal fingerprint comparison accuracy, IMO, are ignoring the problem,<br>
> and studying the wrong solution.<br>
><br>
> Thoughts?<br>
><br>
> --<br>
> Tony Arcieri<br>
><br>
><br>
</div></div><div class="im HOEnZb">> _______________________________________________<br>
> Messaging mailing list<br>
> <a href="mailto:Messaging@moderncrypto.org">Messaging@moderncrypto.org</a><br>
> <a href="https://moderncrypto.org/mailman/listinfo/messaging" target="_blank">https://moderncrypto.org/mailman/listinfo/messaging</a><br>
><br>
<br>
</div><span class="HOEnZb"><font color="#888888">--<br>
<a href="http://www.thoughtcrime.org" target="_blank">http://www.thoughtcrime.org</a><br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
Messaging mailing list<br>
<a href="mailto:Messaging@moderncrypto.org">Messaging@moderncrypto.org</a><br>
<a href="https://moderncrypto.org/mailman/listinfo/messaging" target="_blank">https://moderncrypto.org/mailman/listinfo/messaging</a><br>
</div></div></blockquote></div><br></div>