aguarde...

4 de dezembro de 2019

Senhas são um problema de design

Senhas são um problema de design

Como muitos conselhos urgentes, este excelente artigo sobre boas práticas na criação de senhas fortes, escrito por Jon Xavier da Fleetsmith , parece necessário e trágico. Necessário porque, como o artigo diz, há “muitas informações desatualizadas, enganosas e simplesmente erradas” sobre como criar e manter senhas por aí. E trágico porque essas medidas básicas de segurança, que poucos de nós realmente dominamos, parecem continuar a desafiar a maioria dos usuários de produtos digitais no futuro próximo. Vale a pena ler o artigo na íntegra , mas um resumo rápido de seus principais tópicos também vale a pena:

  • As senhas devem ter no mínimo dez caracteres e, idealmente, o máximo possível
  • Não são necessários caracteres nem números especiais para tornar as senhas mais fortes
  • A troca inteligente de números por letras em suas senhas é completamente ineficaz
  • Uma senha só deve ser alterada quando houver motivos para acreditar que foi comprometida
  • A mesma senha nunca deve ser usada em vários sites
  • A autorização de dois fatores sempre deve estar ativada, se disponível
  • Nunca dê respostas honestas a perguntas de segurança de senhas, por exemplo, qual é o nome de solteira da sua mãe?

Xavier estuda profundamente os mitos que impulsionam a implementação e o uso de senhas hoje em dia, mas uma coisa em que ele não toca é em quão pobre é a experiência do usuário de senhas em plataformas e produtos. Crie seis contas diferentes em seis sites diferentes e você provavelmente encontrará seis abordagens diferentes para incentivar e reforçar a segurança e a força das senhas, algumas frouxamente e outras excessivamente restritivas.

Somente essa inconsistência mina grande parte da vigilância que usuários responsáveis ​​poderiam trazer para a criação de senhas. Se você receber um novo conjunto de regras para cumprir cada vez que realizar a mesma tarefa essencialmente diversificada (ninguém configura uma senha como um fim em si; eles o fazem apenas como um meio de alcançar outro objetivo), sua devoção à segurança será inevitavelmente desgastada pela abordagem de menor denominador comum.

Talvez o conselho mais importante que Xavier ofereça seja:

O fator mais importante na segurança da senha é como eles são armazenados.

Se você usou gerenciadores de senhas como o 1Password , meu favorito pessoal, provavelmente concordará aqui. Os gerenciadores de senhas não apenas melhoram significativamente a segurança das senhas, mas também melhoram a experiência de usá-los. Depois de instalar o 1Password ou aplicativos semelhantes, sua atividade on-line parece inerentemente mais segura.

Ainda existem grandes lacunas. Por exemplo, ao gerar uma nova senha, esses utilitários podem apenas adivinhar os requisitos de segurança de um determinado site ou aplicativo. Portanto, se a restrição exigida pelo site é de, digamos, doze caracteres, incluindo pelo menos um número, e o gerenciador de senhas estiver configurado para gerar sequências de palavras aleatórias com trinta e dois caracteres ou mais, cabe ao usuário mediar a disparidade.

Também é difícil para um gerenciador de senhas entender quando uma senha é aplicável a mais de um site ou aplicativo. Depois que uma senha é criada, geralmente é correspondida exclusivamente ao domínio desse site. Portanto, se o seu login também for válido em um site estreitamente relacionado, como é o caso de muitos sites de grandes empresas, o gerenciador de senhas não reconhecerá automaticamente o relacionamento e apresentará o login relevante.

Além disso, compreender a complexidade adicional de um software de terceiros pode ser um desafio para muitos novos usuários. Para usar um desses utilitários de maneira eficaz, você deve adotá-lo como um hábito, o que pode levar tempo. Isso pode resultar em uma fase intermediária, na qual algumas senhas são armazenadas no gerenciador e outras são armazenadas em outros lugares usando outros meios, confundindo ainda mais os usuários iniciantes.

É claro que você pode usar os utilitários de senha agora incorporados a muitos sistemas operacionais ou navegadores, que ultimamente foram aprimorados significativamente. Mas se você seguir esse caminho, ficará meio que preso lá, porque acessar essas senhas em todo o abismo entre produtos ou plataformas é, na melhor das hipóteses, alto atrito.

Na área de trabalho, embora seja fácil o suficiente gerar e acessar senhas em um navegador, fazer o mesmo para aplicativos nativos, muito menos as solicitações de senha do próprio sistema operacional, é menos direto. A cópia e colagem manual geralmente é a única maneira de superar essa divisão. E isso é especialmente verdade no iOS e iPadOS. Embora o acesso à senha tenha melhorado bastante ao longo dos anos no celular, o cenário ainda é bastante imprevisível. Gere uma nova senha em um aplicativo e você poderá ou não conseguir acessá-la facilmente no site correspondente.

E nada disso leva em consideração a frequência excessiva com que todos os tipos de produtos e plataformas levam os usuários a digitar suas senhas, muitas vezes sem deixar completamente claro por que a entrada de senha pode ser necessária em um determinado momento.

Compare a experiência das senhas com a experiência de, digamos, acessar seu email, usar um navegador da Web ou realizar qualquer tipo de pesquisa. Independentemente do seu host ou cliente ou mesmo plataforma, eles estão em conformidade com mais ou menos os mesmos padrões de experiência. Isso ocorre porque, como as senhas, são peças descentralizadas de infraestrutura tecnológica, mas, diferentemente das senhas, elas se beneficiaram de um acúmulo de práticas recomendadas que, com o tempo, evoluíram para padrões mais ou menos universais. Por outro lado, as senhas ainda parecem imaturas, interrompidas pelo desenvolvimento por mitos de eficácia e sofrendo com a negligência contínua de UX. As senhas são claramente um problema de experiência do usuário, que exige muita atenção do design.

Postado em Blog
Escreva um comentário