Ho cercato modi per migliorare la sicurezza e la consapevolezza della sicurezza sia per i clienti interni che per quelli esterni e mi è capitato di generare un "suggerimento di password" casuale e casuale sulle schermate di registrazione e di modifica della password, simili al seguente:
Supponendo che:
- La password viene generata indicizzando tutte le parole di 5-8 lettere in un dizionario Scrabble (circa 70.000 parole totali netti) e utilizzando un servizio di crittografia RNG per scegliere gli indici casuali;
- La pagina viene visualizzata su una connessione SSL;
- La password è un nonce, cioè il server in realtà non lo salva da nessuna parte;
- Gli utenti non sono effettivamente assegnati a questa password - possono ancora crearne di propri, ad esempio se sono seduti a un terminale pubblico.
Questa è una buona idea o una cattiva? Personalmente mi piace l'idea, ma sono preoccupato che il mio entusiasmo e ottimismo come sviluppatore possa mettere in ombra alcuni effetti collaterali negativi non intenzionali di uno schema come questo.
Dovrei andare avanti con questo? Ci sono modi in cui potrebbe essere migliorato e / o altre cose che devo cercare?