Ogni anno le società di sicurezza informatica condividono le loro scoperte in merito a password e violazioni dei dati. Ancora e ancora, avvertono gli utenti di computer di utilizzare password complesse e di non utilizzare le stesse password per account diversi. E, ancora, violazioni dei dati e altre fonti mostrano che troppe persone usano ripetutamente le stesse semplici password e che alcune di queste password sono ridicolmente semplici, la parola "password" o il numero "123456" in realtà non è affatto una password, dato che al giorno d'oggi anche il software di hacking e cracking meno sofisticato disponibile per terze parti dannose.

L'inerzia è un problema importante:è difficile ottenere utenti, impostati nei loro modi, per cambiare il loro vecchio, password facili da ricordare a complesse, codici difficili da ricordare. È ancora più difficile convincere tali utenti a utilizzare gestori di password o autenticazione a più fattori, che aggiungerebbe un altro livello di sicurezza ai loro accessi.

Ora, scrivendo sull'International Journal of Information and Computer Security, Jaryn Shen e Qingkai Zeng dello State Key Laboratory for Novel Software Technology, e Dipartimento di Informatica e Tecnologia, all'Università di Nanchino, Cina, hanno proposto un nuovo paradigma per la protezione con password. Il loro approccio indirizza gli attacchi online e offline alle password senza aumentare lo sforzo richiesto a un utente per scegliere e memorizzare le proprie password.

"Le password sono la prima barriera di sicurezza per i servizi web online. Finché gli aggressori rubano e violano le password degli utenti, acquisiscono e controllano le informazioni personali degli utenti. Non è solo un'invasione della privacy. Può anche portare a conseguenze più gravi come danni ai dati, perdite economiche e attività criminali, ", scrive la squadra.

Il loro approccio prevede un sistema di accesso basato su due server anziché uno. L'utente ha un breve, password memorabile per accedere al loro più lungo, password "hash" generate dal computer su un altro server, la chiave per "de-hashing" quelle password più lunghe sono memorizzate sul secondo server, ma la password effettiva viene memorizzata anche sul dispositivo dell'utente e quindi la password memorizzabile funge da token per l'autenticazione a due fattori. L'approccio significa che gli aggressori con anche gli strumenti di hacking più sofisticati non possono applicare efficacemente un dizionario offline e attacchi di forza bruta.