Ho pensato che la forza di una password dipendesse dal numero totale di combinazioni possibili. Pertanto, consentire password più lunghe dovrebbe essere più sicuro perché si hanno quindi più possibilità. Ma perché alcuni sistemi impostano un numero minimo? Questo non riduce semplicemente il numero di combinazioni possibili?
Anche se si consente password a 128 byte, la maggior parte le persone sceglieranno qualcosa di 10 caratteri o meno. Alcuni addirittura sceglieranno qualcosa di meno di 1-3 caratteri. Gli hacker lo sanno e forza bruta quelle prime possibilità. In effetti, nella maggior parte dei programmi di hacking a forza bruta, vengono naturalmente in primo piano quando iniziano con le possibilità più brevi e si costruiscono su quelli più lunghi. Pertanto, un minimo.
Al tuo punto, fa minimizza le possibilità di totale , ma non di molto, poiché gli LSB non sono molto più paragonati agli MSB.
Doesn't this simply reduce the number of possible combinations?
sì, ma non in modo significativo.
Come analogia, considera le password che sono combinazioni di lettere maiuscole solo AZ, con lunghezza massima di 8. Numero totale di possibilità = 26 8 + 26 7 +. .. + 26 + 1 = 217,2 miliardi. Se si limita questo a una lunghezza minima di 6, ciò elimina le password di lunghezza 5 o inferiore, che hanno un numero totale di possibilità di 26 5 + 26 4 + .. . + 26 + 1 = 12,4 milioni, una piccola frazione dello spazio della password più grande.
Direi che riduce la quantità di password facili da decifrare nel sistema.
Leggi altre domande sui tag passwords password-policy