Non direi che è più facile da usare. Personalmente, voglio ricordare meno personaggi, ma odio anche i limiti artificiali che mi vengono posti. Un approccio più interessante potrebbe essere quello di calcolare l'entropia della password di un utente e richiedere semplicemente una certa quantità di entropia.
Se l'utente non immette altro che lettere minuscole, richiederebbe la maggior parte dei caratteri. Se includono maiuscole, numeri o segni di punteggiatura, ciascuna di queste classi di caratteri verrebbe applicata alla lunghezza della password per determinare la quantità di entropia.
Questo lascerebbe all'utente decidere se desidera avere una password alfabetica più lunga o una password più breve e più complessa. L'unica cosa aggiuntiva che è necessario memorizzare per un tale sistema sarebbe una bandiera per dire che la password non è sensibile al maiuscolo / minuscolo se viene utilizzata la stessa maiuscola per l'intera password. Potresti quindi eseguire una stringa inferiore se il flag è impostato per garantire che le voci future vengano elaborate allo stesso modo.
Ha lo svantaggio di rendere meno ovvio ciò che deve essere fatto, ma un messaggio di errore dettagliato può ancora essere creato, come ad esempio "La tua password non è ancora abbastanza sicura, per rendere la tua password più sicura, considera l'aggiunta 3 segni di punteggiatura, 1 lettere maiuscole, 2 numeri, 6 lettere maiuscole minuscole o prova alcuni sottoinsiemi di quelli. Assicurati di diffonderli attraverso la password. " Ciò consentirebbe all'utente di conoscere esempi di ciò che deve essere aggiunto per ottenere sufficiente entropia.
Ha anche il rovescio della medaglia che gli utenti probabilmente aggiungeranno semplicemente alla fine, il che è meno sicuro che se fossero sparsi ovunque, ma il problema degli utenti che scelgono password sbagliate è antico quanto la sicurezza delle informazioni.