Le password, o più in generale qualcosa che conosci, sono spesso relativamente deboli, perché gli utenti non possono ricordare i segreti di alta entropia. Di conseguenza, le password (o qualsiasi cosa tu abbia bisogno di memorizzare) di solito finiscono per essere un segreto a bassa entropia, che consente di indovinare casualmente, cercare nel dizionario offline e altri attacchi. Anche se è possibile per creare e ricordare una buona password, l'esperienza mostra che gli utenti non lo fanno e probabilmente non è ragionevole aspettarsi che gli utenti lo facciano.
C'è un'enorme quantità di ricerca accademica ed esperienza pratica a sostegno di questa affermazione. Ecco alcuni riferimenti di esempio:
Inoltre, qualsiasi segreto che conosci può potenzialmente essere sottoposto a phishing (ad esempio, qualcuno potrebbe essere in grado di ingegnerizzare socialmente per rivelarlo).
Ricorda la frase classica:
Humans are incapable of securely storing high-quality
cryptographic keys, and they have unacceptably slow speed
and accuracy when performing cryptographic operations.
(They are also large, expensive to maintain, difficult to
manage, and they pollute the environment. It is astonishing
that these devices continue to be manufactured and deployed. But they are sufficiently pervasive that we must
design our protocols around their limitations.)
Charlie Kaufman, Radia Perlman, Mike Speciner, Network Security: Private Communication in a Public World.
A questo punto ti starai chiedendo: dato che le password hanno così tanti problemi, perché li usiamo ancora? Se è così, ti consiglio di dare un'occhiata a questa domanda: Perché usiamo persino password / passphrase accanto alla biometria? .