Ho utilizzato zxcvbn per applicare password complesse per un servizio in cui le effrazioni comportano notevoli problemi. Tuttavia, il servizio è valido solo se molti utenti si registrano. Abbiamo scoperto che gli utenti sono inclini a rinunciare alla frustrazione quando zxcvbn rifiuta la password dopo la password (in base alle metriche del sito Web e agli eventi di persona). Abbiamo iniziato con la forza di zxcvbn a 4 e da allora lo abbiamo ridotto a 2, ma il problema persiste.
È diventato dolorosamente chiaro che la tua Jane normale è abituata a creare password sbagliate e non ha interesse ad essere riqualificata. Non abbiamo il budget per assumerci la responsabilità di quel tipo di cambiamento sociale, e i poteri stanno spingendo strong per tornare a qualcosa come "8 personaggi, almeno un numero, ecc." È comprensibile dal punto di vista del business: dedichiamo più tempo a istruire gli utenti attraverso il processo di creazione della password piuttosto che a parlare del nostro servizio.
Quindi, qual è il modo migliore per applicare una politica per le password che non ci lascia con un sacco di account utente facilmente compromessi e allo stesso tempo non alienare una base di utenti non tecnici?
Modifica: gli accessi avvengono attraverso l'interfaccia web e altri come IMAP, il che rende improbabile che gli accessi con password siano fattibili.