Forza password con raggruppamento di caratteri

Se la funzione di hashing della password è buona, o anche se è cattiva, ma non irrimediabilmente , quindi aggiungendo il i punti non dovrebbero indebolire la password. Le funzioni di hashing della password, come gli altri tipi di funzioni hash crittografiche, dovrebbero essere "tutto o niente": o si ha tutto l'input esatto, e poi si hash sull'output, o non si impara nulla. La nozione accademica corrispondente è quella di un oracolo casuale .

Ovviamente, i punti extra non aumentano l'entropia della password, mentre possono aumentare gli sforzi di digitazione. È vero che aumentano la leggibilità , ma se migliora o deprezza la tipicità (mmh, non è una parola apparentemente) dipende da chi sta scrivendo.

Alcuni sistemi scarsamente sviluppati impongono limiti bassi arbitrari alla lunghezza della password (ad esempio, rifiutano le password più lunghe di 10 caratteri) e i punti in più ti renderanno più difficile colpire quel limite. Probabilmente, questi sistemi sono il problema, non i punti.

In realtà raccomando una cosa del genere quando c'è una lunga password da digitare una rara quantità di tempo da parte di utenti non tecnici (il miglior esempio è la creazione di un accesso Wifi per esempio).

Personalmente uso il separatore di caratteri '-', invece, e questo fa sì che la password appaia come un numero seriale che un utente dovrebbe digitare per registrare un software (come "aPr8-eerT-6F4g-9dgV"). Quindi sembra qualcosa di familiare all'utente, è più facile da digitare e controllare, e altrettanto sicuro contro qualcuno che conosce la struttura (e anche di più contro qualcuno che non lo fa).

Migliore usabilità, sicurezza uguale se non migliore, quindi perché non approfittare di questa tecnica :)?