Passwords, mais uma vez

Elizabeth Heichler, Computerworld:

As implementações fracas de autenticação baseada em passwords, em sites de baixa segurança, comprometem as protecções oferecidas por sites de alta segurança porque as pessoas reutilizam as suas passwords (...) Os atacantes podem usar os sites de baixa segurança, como jornais online, para capturarem passwords associadas a endereços de correio electrónico, e utilizarem-nas para ganhar acesso a sites de alta segurança, como lojas de comércio electrónico.

in Researchers: Poor password practices hurt security for all, um artigo sobre um estudo realizado na Universidade de Cambridge, focado sobre os mecanismos de autenticação mais usados, e que contém algumas estatísticas interessantes.

Isto não é um problema novo e existem soluções técnicas que são simples, fáceis de usar, e que podem melhorar, por um lado, os mecanismos de controlo e protecção das passwords em todos os serviços online, e, por outro lado, para auxiliar as pessoas na escolha, diversificação e memorização das suas passwords. Tecnicamente, não falta nada. Então, porque é que não se resolve o problema? Simples: porque ainda ninguém correlacionou os ataques e a esmagadora maioria das pessoas não reconhece o problema — não há uma motivação forte. E pode fazer-se alguma coisa? Enquanto não houver um ataque com grande impacto, cuja causa seja atribuída a este estado da arte, não creio que possamos fazer grande coisa. Até lá, o melhor que podemos fazer, se tanto, é evangelizar — é o que eu faço.