As passwords são uma das "pragas" da actualidade, mas uma grande parte dos utilizadores continua a facilitar e a deixá-las em risco.
Se é certo que a tecnologia deveria facilitar a vida às pessoas, por outro lado também nos complica a vida ao exigir a utilização de passwords para aceder a todo o tipo de serviços - e como consequência, tem feito com que muitas pessoas facilitem e as deixem em risco. Um estudo da Kaspersky Labs revela que 41% dos utilizadores guarda as passwords de forma insegura, e que 21% chega mesmo a escrevê-las num bloco de notas.
Muitos utilizadores têm consciência da importância das passwords seguras, com 59% dos inquiridos a reconhecerem a necessidade delas para proteger serviços como o acesso às contas bancárias. No entanto, a utilização de passwords complexas e difíceis de memorizar também gera o receio dos mesmos perderem o acesso às suas contas - fazendo com que muitos outros optem por passwords mais simples... e mais vulneráveis. Segundo a Kaspersky Labs, 10% dos utilizadores continuam a usar uma única password para todos os serviços que utilizam!
Se a utilização de um gestor de passwords é uma das soluções possíveis, estes resultados poderão também indicar que estaria na hora de muitos serviços reconsiderarem formas de autenticação alternativas às passwords. Por exemplo, quem quer utilizar o Slack pode simplesmente introduzir o seu email e receber no email um link de autenticação e validação válido para uma única utilização... e o mesmo processo poderia ser aplicado a muitos outros serviços, libertando o utilizador da necessidade de se lembrar de uma password.
Uma coisa é certa: nunca - mas nunca - utilizem apenas uma única password (ou passwords idênticas) em diferentes serviços! Pode ser algo que por agora vos facilite a vida mas que, quando inevitavelmente uma delas for apanhada num leak, tornará toda a vossa presença digital num verdadeiro pesadelo!
As senhas estão mais seguras em papel que no computador... mesmo em gestores de senhas, já que assim poderão ser todas mais facilmente furtadas de uma só vez.
ResponderEliminarPor outro lado o ideal é algo do género FIDO U2F ou uma versão do SQRL mas este último só se for num dispositivo físico dedicado. Em ambos estes casos FIDO U2F e SQRL utilizam chaves públicas/ privadas sendo muito mais seguros. No caso do SQRL como este usa a curva Ed25519 deverá ser mais seguro que o FIDO U2F que utiliza aquelas curvas elípticas que os especializados na área não consideram seguras. O SQRL ainda têm a vantagem de permitir recuperar o acesso às contas online mesmo que furtem a chave privada.
É que insinuar que mandar uma mensagem de e-mail pode ser algo seguro é ser muito brincalhão/ muito ignorante... que o e-mail não foi e continua a não ser algo seguro. Mesmo o DIME (Dark Internet Mail Environment) que pretende ser uma espécie de e-mail mas mais seguro, só o é quando o cliente recebe a mensagem numa aplicação no seu próprio dispositivo. Quanto muito, actualmente, enviar a mensagem para um programa mensageiro como o Threema em que as chaves pública/ privada são criadas no próprio dispositivo, e independentes de tudo o resto, e por tanto as mensagens realmente beneficiam de confidencialidade entre o servidor e o dispositivo do utilizador... mas mesmo isto implica que o dispositivo do utilizador não está contaminado e tal é muito difícil de ter a certeza já que muitos dispositivos já vêm contaminados de fábrica e outros são facilmente infectados pelas próprias pessoas ou através de falhas nos sistemas operativos/ aplicações.
Logo algo dedicado como o FIDO U2F ou SQRL num dispositivo dedicado só para isso e de preferência de especificações abertas e confirmáveis é a forma ideal para proteger contas online.
Pode-se considerar o email inseguro... mas por outro lado, servindo o email para fazer a recuperação de contas de todos os serviços em que se usam passwords... acaba por se poder considerar o "elo" que não se consegue evitar; daí que, se confias nele para fazer a recuperação da conta, também me parece lógico que se "tenha" que confiar nele para qualquer tipo de login 1-time.
Eliminar(Não esquecer que sendo "1-time" inviabiliza quem o tentar utilizar posteriormente; ao mesmo tempo que sinalizaria o utilizador legítimo de forma imediata, caso alguém o tivesse interceptado, indicando que já estava a ser utilizado)
Existem password managers em que se pode determinar que não se pretende adicionar novos browsers e/ou dispositivos. Assim determina-se que os dispositvos/browsers existentes na base de dados são de confiança, excluindo a necessidade de pedir novos PINS, e tudo o resto não é aceite.
ResponderEliminar