Come è stato sottolineato da altri, l'aggiunta di caratteri "noti" extra non rende la password meno sicura, poiché l'entropia è una misura del numero di altri valori che la password avrebbe potuto assumere e un'appendice deterministica sistematica dei caratteri non cambia quel numero.
Tuttavia, c'è un feedback. La password è scelta da un essere umano e sarà digitata da un essere umano, ed è vincolata da tre tipi di regole:
- L'utente dovrà ricordare la password.
- L'utente dovrà digitare la password (spesso).
- Normalmente il criterio password impone una dimensione minima.
La politica delle "dimensioni minime" è un modo per impedire agli utenti di utilizzare password di 3 lettere o giù di lì. In effetti, gli utenti tendono a massimizzare la loro funzione di utilità (come dicono gli economisti), cioè useranno password che semplificano la loro vita. Una password molto corta è facile da scrivere e facile da ricordare. Ma questo spesso porta a password che sono facili da decifrare, quindi una politica di dimensioni minime (spesso 8 caratteri). In quel contesto, l'aggiunta del nome utente ha due effetti negativi:
- Poiché l'utente preferisce le password brevi quando deve scriverle, questo inciterà l'utente a ridurre la quantità di "caratteri casuali" nella sua password.
- Il criterio "dimensione minima" viene ignorato.
In effetti, se l'utente ha un nome "foobar" e deve rispettare una politica di "almeno 8 caratteri", proverà ad utilizzare una password come "foobar42", che non è affatto sicura ... poiché la sua lunghezza effettiva è quindi 2 caratteri, non 8.
La linea di fondo è che mentre si inserisce o si aggiunge il nome utente nella password non si riduce la sicurezza quando tutte le altre cose rimangono uguali , le altre cose tendono a essere modificato allo stesso tempo. In particolare, una politica di "dimensione minima" dovrebbe essere modificata in: "almeno n caratteri escludendo una copia del nome utente, se applicabile ". Vuoi che "foobar42" sia misurato, per questa politica, come password di lunghezza 2, non 8.
Questo illustra anche la creatività degli utenti umani. Cercheranno di aggirare le vostre politiche se queste politiche renderanno la loro vita più difficile. Per ottenere una maggiore sicurezza, è necessario ottenere la cooperazione dell'utente, che implica molta pedagogia e strumenti di supporto (in particolare, è necessario fornire un generatore di password non obbligatorio, per gli utenti che desiderano genera una buona password - alcuni la useranno)