Dipende.
Si
Da un punto di vista teorico, vi è un leggero aumento nell'entropia perché la posizione dell'interruzione tra la prima e la seconda password costituisce un'informazione aggiuntiva.
Una grande password. Supponiamo che tu abbia una password e che l'utente inserisca 16 caratteri e, per semplicità, diciamo che la password deve essere numerica. Ciò equivale a 10 ^ 16 possibili permutazioni, o 10.000.000.000.000.000 (10 quadrilioni).
Due password. Ora diciamo che hai due password con un totale di 16 caratteri. Penseresti che ci siano 10 ^ 16 combinazioni, ma in effetti ce ne sono altre. Aggiungiamoli:
Se la prima password ha 1 cifra e la seconda ha 15 cifre, ciò equivale a 1 ^ 10 x 15 ^ 10 = 10.000.000.000.000.000 di permutazioni.
Se la prima password ha 2 cifre e la seconda ha 14 cifre, ciò equivale a 2 ^ 10 x 14 ^ 10 = 10.000.000.000.000.000 di permutazioni.
Se la prima password ha 3 cifre e la seconda ha 13 cifre, ciò equivale a 3 ^ 10 x 13 ^ 10 = 10.000.000.000.000.000 di permutazioni.
...
Se la prima password ha 15 cifre e la seconda ha 1 cifra, ciò equivale a 15 ^ 10 x 1 ^ 10 = 10.000.000.000.000.000 di permutazioni.
Ci sono 15 possibili casi, per un totale di 150.000.000.000.000.000 di permutazioni (150 quadrilioni).
Confronto. Da 150 quadrilioni > 10 quadrilioni, sì, c'è un po 'di aumento nell'entropia e quindi è più difficile indovinare le due password rispetto alla password lunga.
Le supposizioni di cui sopra (lunghezza = 16, set di caratteri = 10) possono essere modificate e la matematica funzionerà ancora.
No
D'altra parte, a seconda di come il sistema valuta la password, quanto sopra potrebbe non essere applicabile, ad es. se il sito web combina le password e le unisce insieme invece di tenerle separate. Se questo è il caso, allora no, non c'è potenza di calcolo aggiuntiva necessaria per falsificare la password, perché ci sono in effetti 15 diverse combinazioni di password che funzioneranno. 150 quadrilioni ÷ 15 = 10 quadrilioni quindi sei tornato dove hai iniziato.
È ancora peggio!
Vedi risposta di lengyelg che è azzeccata :
It's actually less secure to have two separate password fields in the sense that if password hashes are stored separately, it can be easier to find two shorter passwords from something like a rainbow table than one long password. Of course if a single hash is stored for the concatenated password, it's the same as one password field.
Perché preoccuparsi?
Secondo me, è molto più semplice richiedere una cifra in più che richiedere due password separate, e questo avrà sempre un effetto più strong se il tuo set di caratteri è più grande della lunghezza delle due password combinate (che sarà quasi sicuramente sarà il caso)