Todos os anos, as empresas de segurança de computador compartilham suas descobertas com relação a senhas e violações de dados. De novo e de novo, eles alertam os usuários de computador para usar senhas complexas e não usar as mesmas senhas para contas diferentes. E, ainda, violações de dados e outras fontes mostram que muitas pessoas usam as mesmas senhas simples repetidamente e que algumas dessas senhas são ridiculamente simples, a palavra "senha" ou o número "123456" realmente não é uma senha, mesmo considerando o software menos sofisticado de hackers e crackers disponível para terceiros mal-intencionados atualmente.

A inércia é um problema importante:é difícil conseguir usuários, definido em seus caminhos, para mudar o antigo, senhas facilmente lembradas para complexas, códigos difíceis de lembrar. É ainda mais difícil fazer com que esses usuários usem gerenciadores de senha ou autenticação multifator, o que adicionaria outra camada de segurança aos seus logins.

Agora, escrevendo no International Journal of Information and Computer Security, Jaryn Shen e Qingkai Zeng, do State Key Laboratory for Novel Software Technology, e Departamento de Ciência e Tecnologia da Computação, na Universidade de Nanjing, China, propuseram um novo paradigma para proteção por senha. Sua abordagem aborda ataques online e offline a senhas sem aumentar o esforço exigido de um usuário para escolher e memorizar suas senhas.

"As senhas são a primeira barreira de segurança para serviços da web online. Enquanto os invasores roubam e quebram as senhas dos usuários, eles obtêm e controlam as informações pessoais dos usuários. Não é apenas uma invasão de privacidade. Também pode levar a consequências mais sérias, como danos aos dados, perda econômica e atividades criminosas, "escreve a equipe.

A abordagem deles envolve ter um sistema de login baseado em dois servidores em vez de um. O usuário tem um curto, senha memorável para acessar mais tempo, senhas geradas por computador com "hash" em outro servidor, a chave para "remover o hash" dessas senhas mais longas são armazenadas no segundo servidor, mas a senha real também é armazenada no dispositivo do usuário e, portanto, a senha memorável atua como um token para autenticação de dois fatores. A abordagem significa que os invasores mesmo com as ferramentas de hacking mais sofisticadas não podem aplicar um dicionário offline e ataques de força bruta de forma eficaz.