A maioría dos problemas de seguridade radican en problemas dos usuarios, non importa como de seguro gardemos a información si esta témola en mans de persoas que descoñecen o sistema ou de administradores que fan que sexa sinxelo para os usuarios sin pensar nun método intermedio.

Un exemplo témolo nun problema moi grave polo que información de milleiros de alumnos e mestres foi visible no estado de California simplemente porque os mestres, todos, tiñan un contrasinal por defecto igual para todos. Así, si tecleabas o nome dun mestre e a contrasinal por defecto (sempre que non fose cambiada polo mestre) tiñas aceso a todo.

Teño como norma empregar sistemas de contrasinais sempre dun sentido (hash), que permiten comprobar un contrasinal pero nunca permite ver cal é, ademais de esto, si teño que xerar contrasinais para usuarios sempre emprego un método sinxelo e diferente, algo coma:

contrasinal = 5_caracteres_de(  md5( nome + apelidos + CONSTANTE ) )

Eso só para crealos contrasinais orixinais, a partir de ahí o usuario ten a obligación de cambialos, de forma segura, e ahí xa é responsabilidade do usuario, si pon unha facil ... os problemas serán del, fagolles sempre entender que o contrasinal é algo persoal e intransferible, coma a súa tarxeta de crédito, o seu D.N.I., a súa firma.