Nas últimas semanas, tomamos conhecimento de roubos de bases de dados de milhões de usuários. É inacreditável como muitos serviços populares (e supostamente capazes em sua tecnologia) cometem falhas gravíssimas no gerenciamento de senhas.
Na verdade, para quem tem recursos, fazer o serviço bem feito não é difícil, pois as recomendações estão disponíveis para quem quiser seguir.
O NIST (National Institute for Standards and Technology) oferece uma série de conselhos no processo de escolha de senhas e de como elas devem ser armazenadas de forma segura.
São coisas tão simples que assustam
Abandonar comportamentos que não ajudam em nada na escolha de senhas seguras, e que servem apenas para complicar a vida do usuário.
Coisas como trocar a senha em prazos curtos, ou usar pelo menos uma letra minúscula, uma maiúscula, um algarismo, um símbolo, dois Big Macs e uma Coca-Cola média. E sabe-se mais lá o que.
No lugar disso tudo, é mais produtivo não aplicar limites de tamanho máximo reduzidos (alguns serviços não permitem senhas com mais de 16 caracteres), além de medidas proativas de detecção de senhas e palavras chave comuns, com a recomendação que as mesmas sejam alteradas.
Também é recomendado que você aceite todos os caracteres e símbolos para as senhas, incluindo emojis.
Por outro lado, esqueça o sistema de “dicas” em caso de esquecimento de senha, ou perguntas adicionais de validação e autenticação via SMS.
Mas o mais importante: não reinvente a roda nesse aspecto.
Há especialistas que dedicam a sua vida a investigar sobre as questões de segurança. Se eles indicam uma forma lógica e racional para fazer tudo com maior segurança, siga os conselhos, e não invente uma solução caseira.
São seus dados que estão em jogo.
Via Naked Security (link 1 e link 2)