Qual è esattamente l'impatto sulla sicurezza quando si costringono le password degli utenti a contenere un determinato carattere?

Se lasciati ai propri dispositivi, le persone tendono a scegliere password deboli (ad esempio il nome dei loro figli / madre / fidanzata / monarca). Questo è un dato di fatto. Educare gli utenti a le virtù delle password difficili da indovinare attraverso la casualità è un compito che richiede tempo e fatica. Spesso sembra più facile e veloce espellere in qualche modo gli utenti fuori dalla loro zona di comfort, costringendoli a scegliere le password in un set che lo renderà "per costruzione" più casuale. La maggior parte delle fidanzate non ha un "$" nel nome, quindi l'aggiunta obbligatoria del simbolo del dollaro renderà la password "più casuale", o almeno così si spera. In pratica, però, le persone prima pensano alla password che vorrebbero avere, quindi aggiungono (con aggiungendo ) tutto ciò che serve per placare il sysadmin; quindi metteranno il segno del dollaro alla fine, quasi sistematicamente. La password non sarà "Gwendoline" ma "Gwendoline $". Pertanto, la sicurezza extra è, nel migliore dei casi, lieve. E gli utenti saranno meno felici, ovvero, a parità di condizioni, una cosa negativa per la sicurezza.

In pratica stai riducendo l'entropia generale della tua password, dato che uno dei personaggi sarà sempre conosciuto.

Questo effetto è ulteriormente amplificato dal fatto che la maggior parte degli umani sono creature prevedibili. Se li imponi di posizionare un carattere arbitrario da qualche parte nella loro password, c'è un'alta probabilità che il carattere sia il primo o l'ultimo carattere della password.