In questo ordine di grandezza (1000 password), non vedo nessun lato negativo da un punto di vista della sicurezza. Se mai, direi che è una buona idea. Certo, ridurrete il pool di possibili password che, in teoria, riducono la sicurezza. In pratica, tuttavia, quelle password più comunemente utilizzate saranno una delle prime parole che un utente malintenzionato proverà.
In effetti, ho visto alcuni servizi Web che lo rivelavano nei loro moduli di registrazione. Alcuni addirittura bloccano interi dizionari oltre alle password comuni.
Non solo questa idea non un pessima è in realtà piuttosto consigliabile. Infatti, c'è un'intera libreria già inclusa sulla maggior parte dei sistemi Linux / Unix chiamata cracklib che ti aiuta a prevenire gli utenti dalla raccolta di password orribili.
Ci sono associazioni per questa libreria in la maggior parte lingue , che rende piuttosto banale il controllo delle password errate. Dici solo "cracklib, questa password è cattiva" e dirà qualcosa del tipo: "questa password è basata su una parola di dizionario rovesciata".
Dal punto di vista della sicurezza, non dovrebbero esserci implicazioni negative. L'unica cosa che posso pensare sarà l'attaccante che sa di non provare quelle 1000 password se riesce a impossessarsi di quella lista ma in realtà non conta.
Posso vedere un problema in questa situazione, renderà la forza bruta più facile per l'attaccante. Avranno meno password da provare per entrare nell'account. Penso che non dovresti limitare la scelta della password agli utenti.
Se pubblichi la lista nera e contiene la password preferita del tuo capo, CarlosDanger77; è probabile che tu venga incasinato quando il suo account Twitter viene hackerato con esso.
Leggi altre domande sui tag authentication passwords brute-force