Ad esempio, OWASP considera 10-128 caratteri, con caratteri inferiori, superiori, cifre e speciali personaggi (non capisco perché c'è un limite massimo). Utilizzando le linee guida minime di OWASP e assumendo che ci siano 28 caratteri speciali, l'entropia è 3e19. Ma con una password di 16 caratteri con solo lettere minuscole è 4e22. Lancia in maiuscolo ed è 2e27. I computer possono calcolare a un ritmo piuttosto veloce ma qualunque esso sia, abbassa quella entropia, il che significa che la differenza non è di 22 zeri a 19, ma più vicino a 5 a 2, cioè le differenze sono enormi.
Se la lunghezza è un problema, 12 caratteri inferiore + superiore è 3e20. Altre grandi aziende costringono ancora le persone a utilizzare un minimo di 8 caratteri con caratteri speciali. Perché costringere le persone a utilizzare caratteri speciali - e ai numeri di interno - quando altri 2 caratteri non sono solo più sicuri ma molto più facili da ricordare? Perché sono così anonimi su questo?
Alcune persone sostengono che le password di lunga durata sono cattive perché le persone usano solo parole reali per limitare enormemente l'entropia. A ciò direi la stessa cosa con password più brevi, quindi attacchi con dizionario + regola. Forzare numeri e / o caratteri speciali genera solo password come [word]1! o, peggio, Password1! . Qualcuno può spiegare perché i caratteri speciali sono una necessità in password sicure o perché è considerato in questo modo nonostante le prove contro di esso.