Perché, in effetti?
Permettimi di ignorare questa domanda per un momento e rispondi alla tua domanda implicita: dovremmo?
Cioè, dovremmo continuare a fare in modo che gli utenti creino una propria password, che è spesso debole, invece di fare in modo che il sistema generi una password sicura per loro?
Bene, sono dell'opinione controversa che ci sia un trade-off piuttosto strong qui - avere una password sicura e SAPERE quanto è sicuro (come fai notare), da una parte, e dall'altra parte è il sentimento dell'utente della sicurezza. "Usabilità", in una certa misura.
Penso che ci siano diversi aspetti di questa sensazione di sicurezza: alcuni utenti vorrebbero assicurarsi di avere una password sicura (ad es. tramite un gestore di password o diceware); alcuni utenti vorrebbero selezionare una password facile; e alcuni utenti vogliono usare la stessa password ovunque. E sì, molti utenti semplicemente si aspettano di essere in grado di impostare la propria password, per qualsiasi motivo - quindi oltre a qualsiasi causa specifica, dovrai comunque combattere la battaglia di rieducazione, che è tutt'altro che facile .
Inoltre, non dimenticare che una volta ottenuta una buona password per l'utente, l'utente (spesso non tecnico) ha ancora bisogno di capire cosa fare con esso - anche le passphrase diventano difficili da ricordare dopo la prima dozzina o così, o se lo usi solo ogni 6 mesi ... L'utente non tecnico molto probabilmente lo salverà in un documento word sul loro desktop o nella loro email. (E ovviamente scrivere la password del sistema operativo su una nota adesiva allegata allo schermo).
Ora, non sminuire queste ragioni, o queste cause per l'utilizzo di password deboli - noi del settore della sicurezza abbiamo creato questo scenario per la gente semplice per anni. Ma in realtà si tratta di: quanto è sicuro che il tuo sito sia necessario. Quanto rischio l'utente può decidere di assumere se stesso / a, e quanto di questo è un rischio sistemico che dovrebbe essere tolto dalle mani dell'utente.
Quindi bottom line: Sì, penso che la maggior parte dei siti che hanno requisiti di sicurezza non trascurabili dovrebbero offrire password / passphrase di generazione. A seconda del profilo e dell'architettura, puoi offrire 3 opzioni quando registri un account (o modificando la password, ecc ...) - assicurati solo di visualizzare la password solo dopo aver avvisato l'utente che non ha effettuato il surfing:
- Genera passphrase - con un numero di parole configurato o flessibile (predefinito)
- Genera password pazzesca con entropia ridicola, ad es. per il salvataggio in Gestione password
- Crea il tuo.
In effetti questo è ciò che raccomando da tempo (le varianti dipendono dai requisiti specifici ...).
Tornando alla tua domanda iniziale, perché non è stato fatto quanto sopra?
Direi una combinazione di sistemi legacy e cattive abitudini; mis-education (la stragrande maggioranza dei siti ha ancora politiche e raccomandazioni di password BAD); e forse solo una mancanza di consapevolezza di una soluzione migliore.
Sì, questo è perché le password succhiano . :-)