pointerLe password sono obsolete

Secondo Justin Balthrop, Heartbleed dimostra come il problema delle password vada risolto eliminando le password: nonostante le email inviate dai vari siti affetti dalla falla ai loro utenti, la maggior parte di questi non aggiornerà la propria password. Sicuramente, non lo faranno per ciascun sito presso cui hanno un account:

It turns out that passwords are obsolete, and they have been for a long time. Like the occasional pay phone you find in the back of a run-down restaurant, passwords have been unnecessary for years. The difference is that everyone laughs and reminisces when they see a pay phone, but nobody does that when they see a password field. But they should.

Justin propone un nuovo metodo di autenticazione che evita totalmente le password, e chiede all’utente solamente l’username. Somiglia al sistema dell’autenticazione in due passaggi: invece che avere una password, gli utenti forniscono un numero di telefono — o email primaria, a scelta — sul quale riceve dei token temporanei che permettono di autorizzare un nuovo device ad autenticarsi.