Senhas são como roupa intima - password anti-pattern
Posted by Dirceu | Filed under oauth, password-anti-pattern, auth-layer, uncategorized
Permitir ao usuário importar uma lista de amigos de outro serviço é útil. Porém os meios precisam justificar o fim. Dar o poder para o usuário importar dados através de uma camada de autentificação como oAuth é o caminho correto para exportar dados. Por outro lado, pedir ao usuário seus e-mails e senhas de outro serviço como GMail ou Yahoo Mail é completamente inaceitável. Aqui está por que:
Isso ensina as pessoas como cair no golpe (phishing).
Enquanto não podemos proteger as pessoas delas mesmas, nós desenvolvedores temos o dever de não engana-las a pensar que jogar senhas como confete é um comportamento aceitável.
Para nós desenvolvedores essa é uma questão moral. O projeto que você está trabalhando pode não ter nenhuma intenção ruim e o próximo site pode falar que é seguro, mas ao longo do tempo estamos criando um clima propício ao cultivo de fraudes.
Será que não seguimos cegamente às ordens de clientes que procuram "agregar valor" em seus aplicativos, mesmo quando sabemos que o efeito a longo prazo é corrosivo?
Eu não acho que deveriamos. Nós podemos fazer uma escolha em conjunto para não diminuir a estabilidade a longo prazo dos dados de nossos usuários.
The password anti-pattern
oAuth