Le password alfanumeriche al singolo caso sono le più facili da usare?

Se vuoi che lo schema della password sia il più facile da usare, devi lasciare che l'utente scelga quello che vuole invece di imporre tale limitazione cercando in secondo luogo cosa preferirebbe all'utente .

Ogni essere umano è unico. Alcuni potrebbero preferire una password complicata e breve che possa essere immessa rapidamente in virtù della pura memoria muscolare, mentre altri potrebbero preferire una passphrase che può essere inserita in un brano.

Penso che gli sviluppatori dovrebbero rispettarlo, invece di cercare di adattarci tutti a uno stampo.

17 caratteri alfabetici a caso singolo a caso hanno la stessa entropia e sono ancora più facili da ricordare e digitare.

C'è un compromesso tra:

1. chiedendo agli utenti di digitare brevi frasi o frasi, senza la necessità di convalidare caratteri maiuscoli e non alfabetici
2. stringhe di testo molto brevi con complessità di carattere

Gli utenti misureranno la loro esperienza come il problema della vecchiaia e il successo per digitare la loro password e avrai risultati diversi con un pubblico diverso e spetterà al progettista del sistema capire cosa funziona meglio per il particolare pubblico (sebbene, Direi che nessuna password è la migliore, ma questa è una risposta ad un'altra domanda).

Nel settore bancario, ho avuto un maggiore successo con l'utilizzo di password numeriche (entropia orribile) rispetto a un call center in cui le frasi lunghe avevano i migliori tassi di successo (suppongo che fossero più bravi a digitare).

Mi piacerebbe pensare che "la password" come mezzo di autenticazione abbia una durata limitata.

Non direi che è più facile da usare. Personalmente, voglio ricordare meno personaggi, ma odio anche i limiti artificiali che mi vengono posti. Un approccio più interessante potrebbe essere quello di calcolare l'entropia della password di un utente e richiedere semplicemente una certa quantità di entropia.

Se l'utente non immette altro che lettere minuscole, richiederebbe la maggior parte dei caratteri. Se includono maiuscole, numeri o segni di punteggiatura, ciascuna di queste classi di caratteri verrebbe applicata alla lunghezza della password per determinare la quantità di entropia.

Questo lascerebbe all'utente decidere se desidera avere una password alfabetica più lunga o una password più breve e più complessa. L'unica cosa aggiuntiva che è necessario memorizzare per un tale sistema sarebbe una bandiera per dire che la password non è sensibile al maiuscolo / minuscolo se viene utilizzata la stessa maiuscola per l'intera password. Potresti quindi eseguire una stringa inferiore se il flag è impostato per garantire che le voci future vengano elaborate allo stesso modo.

Ha lo svantaggio di rendere meno ovvio ciò che deve essere fatto, ma un messaggio di errore dettagliato può ancora essere creato, come ad esempio "La tua password non è ancora abbastanza sicura, per rendere la tua password più sicura, considera l'aggiunta 3 segni di punteggiatura, 1 lettere maiuscole, 2 numeri, 6 lettere maiuscole minuscole o prova alcuni sottoinsiemi di quelli. Assicurati di diffonderli attraverso la password. " Ciò consentirebbe all'utente di conoscere esempi di ciò che deve essere aggiunto per ottenere sufficiente entropia.

Ha anche il rovescio della medaglia che gli utenti probabilmente aggiungeranno semplicemente alla fine, il che è meno sicuro che se fossero sparsi ovunque, ma il problema degli utenti che scelgono password sbagliate è antico quanto la sicurezza delle informazioni.