Executando verificação de segurança...
4

Olá Filipe!

Dias atrás um dos editores aqui no TabNews perguntou sobre algo interessante para desenvolver e, neste tópico aqui, pensei algo que poderia estar presente nos sistemas de autenticação. Por incrível que pareça há usuários que utilizam senhas muito fracas mas há também sistemas que, ainda hoje, não suportam senhas com mais de 8 caracteres. Alguns aceitam apenas letras maiúsculas e números e as senhas não expiram. Nem imagino como devem estar armazenadas no lado do servidor : \

⏩ Na preocupação de ajudar o usuário, alguns sistemas implementam um teste de força de senha, mas não o impede adotar senhas moderadamente fracas. Adicionalmente, como ideia, poderia sugerir para usuários teimosos, com base na força de sua senha, o tempo de vida para a mesma: senhas fracas são punidas com curto período para expirar e, senhas muito fortes, expiram no tempo máximo estabelecido pelo dev.

🔒 Aprecio sua dica de armazenamento de senhas parciais ou extra completas, pois também ainda estou receoso em terceirizar o armazenamento de credenciais válidas em serviços online. Troco minhas senhas eventualmente, obtendo sugestões/entropia para elas a partir de um gerador aleatório baseado em ruído atmosférico ou de um dos diversos geradores de caracteres aleatórios online (segue alguns deles):

https://qrng.anu.edu.au/random-block-alpha/
https://www.random.org/strings/

⛳ Dica: manter em local seguro o registro de todas as senhas antigas e seu período de uso. Isso ajuda a lembrar quando a mesma deve ser substituída. Não conheço, ainda, serviços online que avisam que a senha do usuário vai expirar.

⚡ Dilema: Passwords versus Passphrases
✅ Uma longa passphrase pode ter mais entropia que uma senha forte e ainda ser mais fácil de memorizar.

Carregando publicação patrocinada...
1

Sensacional meu caro! Acho muito estranho sites que não aceitam senhas maiores que 8 caracteres... aqui no TabNews isso é um requerimento mínimo 🤝 por outro lado, por enquanto não obrigamos caracteres especiais, nem qualquer outra regra.

E idéia muito peculiar essa do tempo de expiração, obrigado por trazer aqui. Em paralelo, já li em muitos lugares que expirar as senhas não é uma boa prática, pois isso acaba fazendo o usuário sempre usar as mesmas, mas com um caractere de diferenciação no final, os mais comuns sendo coisas como ! ou @. Pelo menos em lugares que periodicamente forçam isso, o que é diferente da sua ideia.

Bom, no final das contas acho que só existe uma boa proteção para isso que é um segundo fator, algo tão simples quanto um OTP já barraria o acesso, por mais que a pessoa tenha usado uma senha já vazada e comum.