L'atto di richiedere determinati criteri per le password rende più facile la forza bruta?
Mi è sempre sembrato che quando i siti web limitano l'uso di password "non sicure", potrebbe rendere più semplice la forzatura delle password per le password, in quanto rimuove la necessità per gli hacker di controllare una di queste password. Il più elementare di questi requisiti (e probabilmente il più comune) sarebbe la necessità di una password di 8 caratteri o più. È stato discusso in alcuni altri argomenti:
- I requisiti di complessità delle password riducono la sicurezza di limitando lo spazio di ricerca?
- Non sicuro di richiedere numeri nelle password?
- Does not imporre una lunghezza minima della password rendere la password più debole riducendo il numero di combinazioni possibili?
Il consenso generale su questo è che richiedere password più lunghe / più difficili non rende necessariamente più facile craccare perché la maggior parte delle password che non consente non sono comunque password probabili (perché la grande maggioranza delle persone non userebbe una stringa casuale di caratteri).
Mi sento ancora come se la maggior parte delle persone probabilmente usasse una password della lunghezza richiesta o solo 1 o 2 caratteri oltre il limite. Supponendo che l'uso di soli caratteri alfanumerici, richiedendo 8+ caratteri rimuova circa 3,5 trilioni di possibilità di password (la maggior parte di esse sarebbe semplicemente casuale senza senso). Ciò lascia ~ 13 quadrilioni di password di 8-9 caratteri. La mia domanda principale è: Potrebbe fare più di una differenza trascurabile in termini di sicurezza per i siti web che hanno solo requisiti di password a volte?
Esempio: Forse 1/100 tentativi di creare una password non avrebbero bisogno di soddisfare determinati criteri, il che richiederebbe agli attaccanti di testare tutte le password a causa della possibilità che la password fosse inferiore a 8 caratteri