Molte delle regole che vedi in pratica sono abbastanza inutili. Richiedere almeno una lettera maiuscola e un numero infastidiscono gli utenti che non sono autorizzati a selezionare password
, ma non riesce a indurli a sceglierne uno buono. In generale, scelgono invece Password1
. Quella password passerebbe molti filtri, ma ancora è stata fatta trapelare oltre 100 000 volte.
Puoi provare a rendere le tue regole più complesse. Diciamo che il numero non può essere alla fine! Bene, i tuoi utenti pigri lo metteranno in primo piano. Quella password è stata trapelata oltre 2 000 volte. Puoi continuare questo gioco di gatto e topo con i tuoi utenti, ma è un gioco che perde. Infastidirai sempre più i tuoi utenti e, a meno che non abbandonino per la frustrazione, continueranno a scegliere le password di merda. Le persone sono pigre e non è possibile cambiarle con regole complicate o calcoli di entropia.
Quindi, cosa fare invece?
-
Limiti di lunghezza: dovresti avere una lunghezza minima. Questo dovrebbe essere almeno 8, ma 10 o 12 è probabilmente meglio. Se l'algoritmo di hash ha una lunghezza massima (ad esempio, bcrypt taglia tutto a 72 caratteri), dovresti applicare anche quella lunghezza massima in modo che gli utenti non credano che la loro password sia più lunga di quanto non sia in realtà. Ma non applicare una lunghezza massima corta come 32 senza motivo.
-
Password comuni blacklist: è importante. Molto importante. È necessario verificare la password su un lungo elenco di password perse. Se la password è stata trapelata più di N volte (personalmente, direi per N = 1), bloccala. Ad oggi, la migliore lista di questo tipo è Password pwned .
-
Scelte ovvie nella lista nera: Una scelta allettante di password è semplicemente il riutilizzo del nome utente o altre informazioni personali fornite, il nome del sito o una sua variazione, o un termine strongmente correlato all'argomento del sito. Un modo per farlo è verificare che la password superi il requisito di lunghezza minima anche dopo aver rimosso tali parole. Non vuoi permettere agli utenti di selezionare
LetItGo
come password sul tuo sito fan di Frozen.