El otro día en Buenas prácticas sobre claves y bloqueo de cuentas ‘amenazábamos’ con volver sobre el tema. Lo hacemos con tres artículos que he leído recientemente sobre el asunto:
El primero, Where Do Security Policies Come From? que se basa en el examen de la política de claves de 75 sitios web para concluir que, en general, las políticas son bastante absurdas y no tienen una base sólida sobre la que sustentarse: en general, los sitios con políticas más restrictivas no son los que más requisitos de seguridad tienen, sino los que se lo pueden permitir (sitios gubernamentales y universidades); los que compiten por los usuarios y el tráfico no son muy exigentes, seguramente porque no quieren desanimar a los clientes (y porque les va bien así, luego las exageraciones en cuanto a las claves han de tomarse con una pizca de sal).
El segundo, [PDF] The password thicket: technical and market failures in human authentication on the web. Se analiza la forma en que está implantado en 150 sitios el sistema de autentificación. En este caso lo que se encuentra es que hay bastantes inconsistencias: sitios que son muy exigentes en algunos aspectos, lo son menos en otros. Definitivamente, muy interesante.
Finalmente, uno que no estoy seguro de comprender del todo, Popularity is Everything: A new approach to protecting passwords from statistical-guessing attacks. Se trataría de fortalecer las claves de los usuarios contra ataques de intentos de adivinarlas, evitando que los usuarios utilicen claves demasdiado populares (y lo que no entiendo bien es si no sería una manera de conocer qué claves eran más populares en un sistema).
Mbpfernand0's Blog 
Pingback: Sobre claves y control de acceso en sitios web « Mbpfernand0's Blog
Pingback: Claves y usabilidad « Mbpfernand0's Blog
Pingback: Un estudio sobre HTTPOnly y Secure Cookie « Mbpfernand0's Blog
Pingback: El código peor… el que hacen los gobiernos | Mbpfernand0's Blog