Se gestisci un sito Web in cui gli utenti possono registrarsi e proteggere il proprio account con una password, allora dovrebbe editare una politica di lunghezza minima della password - e , per favore , nient'altro. Regole più severe, il più delle volte, controproducenti. Per sicurezza adeguata, è necessario arruolare la cooperazione dell'utente, che esisterà solo su base volontaria. Quanto più impone , tanto meno gli utenti saranno disposti ad aiutare. Rendere gli utenti Angry è già una mossa stupida quando gli utenti sono clienti (non vuoi respingere i clienti, vero?), Ma per sicurezza è letale.
Un punto saliente è che la password non ha lo scopo di proteggere tu , ma l'utente stesso . Assicurati di renderlo noto all'utente. L'educazione è la chiave, non la coercizione.
Oltre alle norme, puoi fornire alcuni strumenti utili, ad es. un generatore automatico di password - niente di troppo drastico, diciamo 8 caratteri (mi piacciono molto le password composte da due lettere, poi due cifre, poi due lettere, poi due cifre: tali password, come 'ke89fz44', non sono troppo difficili da memorizza e offre ancora una quantità non ridicola di entropia, un po 'sopra i 32 bit, che è più di quanto si possa sperare quando gli utenti scelgono "casualmente" nella loro testa).