Imaginem que surge um novo site social que oferece a possibilidade de comunicar com os mensageiros e outros serviços sociais já existentes.
Muita gente não hesitaria em se registar lá com o mesmo "login" e "password" que utiliza noutros sites semelhantes; muitos nem teriam problema em introduzir esses mesmos dados quando pedidos explicitamente: "Introduza o seu login e passwords do Gmail/Twitter/Facebook/etc. para convidarmos os seus amigos!"
Ora... por muito boa vontade que haja, é preciso começar a ter cuidado com estas coisas.
Nos serviços bem feitos, já não há desculpa para que vos peçam estes dados: quando um serviço deste tipo quer aceder à vossa conta do Twitter (por exemplo), são vocês que - numa página do próprio Twitter - lhe darão autorização, sem que eles alguma vez necessitem saber os vossos dados "secretos".
Para piorar as coisas, há a questão de sites que simplesmente nem implementam uma das mais básicas regras de segurança: a de não guardarem as passwords dos seus clientes de forma legível.
Se o fizerem, significa que - caso haja uma falha de segurança que permita a alguém aceder às suas bases de dados, obterão as passwords de todos os utilizadores lá registados! Isto é um problema gravíssimo.
É uma questão que se resolve facilmente utilizando vários métodos, dos quais a encriptação será a mais comum (salt + hash). A password é guardada de forma encriptada e não pode nunca ser recuperada: apenas pode ser comparada com a encriptação resultante da introdução da password original que apenas vocês conhecem.
Se alguém tiver acesso à base de dados terá apenas uma longa lista de caracteres sem sentido que não lhe servirão de muito; nem colocarão em causa a privacidade dos dados dos seus clientes.
Ora é a isso mesmo que se dedica este site PasswordFail.com, mantendo uma lista de sites que continuam a ignorar esta regra básica e a guardar as vossas passwords de forma "criminosamente" perigosa.
No caso de quererem tirar a limpo se um site que utilizam falha neste aspecto, há um teste bastante simples que podem utilizar: simularem o esquecimento da vossa password.
Se o site vos enviar a vossa password original de volta, fica provado que o mesmo a tem guardado de forma pouco segura; no caso de vos enviar uma password aleatória que deverá ser alterada... sempre podem ficar "um bocadinho" mais descansados no que respeita ao armazenamento da vossa password.
É um bocado difícil manter as passwords relativamente seguras e usáveis ao mesmo tempo.
ResponderEliminarNo meu caso, como mudo muitas vezes de máquina para navegar na web, uso o lastpass, um plugin firefox/chrome que substitui os password managers locais dos browsers e as guarda no seu servidor.
Claro que tinha algumas dúvidas em relação à segurança do sistema, mas com uma password mestra forte e com a encriptação local que o plugin faz antes de enviar os dados para a sua base de dados, sinto-me relativamente seguro sobre o destino das minhas informações.
obrigado joao pela dica.ja instalei, e parece interessante.
ResponderEliminarenviei duas sugestoes, deixa ver se respondem rapido