Sì e no.
No
Il "no" è ovvio. Tutto ciò che limita il tipo di password che puoi creare rende lo spazio di ricerca più piccolo. Altri hanno mostrato la matematica su questo.
Si
La parte "sì" è più sottile, e non sono sicuro che sia ancora più vera visto che non ho visto nessuna ricerca recente su questo.
Le password che rispettano le "regole di complessità" non sono intrinsecamente più sicure delle password che non lo sono. E in effetti c'è un vero senso in cui le regole di complessità indeboliscono le password. Ma quando chiediamo alle persone di conformarsi alle regole della complessità, tendono a generare password migliori.
Quindi il valore di questi requisiti riguarda la psicologia e il comportamento umano. Se si specificano alcune "regole di complessità", è più probabile che si ottenga una migliore creazione di password.
Un caso semplice
Come notato in modo completo qualsiasi cosa che riduce il set di password che le persone possono creare renderà il sistema più debole. Ma ora considera le seguenti due politiche
Criterio 1: le password possono essere qualsiasi sequenza da 8 a 24 caratteri di lunghezza composta dal carattere stampabile US-ASCII.
Criterio 2: come per la politica 1 eccetto che le password potrebbero non appartenere a un elenco delle 10.000 password più comuni.
Si noti che la politica 2 definisce un sottoinsieme appropriato di serie definito dalla politica 1, e quindi è più debole in un certo senso. Ma spero che la maggior parte delle persone concorderà sul fatto che la politica 2 ha molte più probabilità di produrre password più forti rispetto alla politica 1.
Risoluzione del paradosso
Potrebbe sembrare paradossale che limitare il set di password che potrebbero essere utilizzate tenderebbe ad aumentare la sicurezza della password creata, ma la chiave per risolvere il paradosso è riconoscere che non è solo il numero di password che possono essere generato da un sistema che conta, ma dalla loro distribuzione.
Se fosse possibile scegliere una password "legale" come qualsiasi altra, limitare il set sarebbe dannoso. Ma sappiamo che alcune password sono scelte molto più comunemente di altre. La distribuzione delle password scelte dall'uomo è molto lontana dall'uniformità. (A livello superficiale, potrebbe sembrare che segua una distribuzione di legge sulla potenza, ma non su analisi più ravvicinata .
Ma le password scelte dall'uomo seguono una distribuzione molto "grossa" anche se non è una distribuzione della legge di potenza. Se scopriamo che imporre alcune restrizioni appiattiscono la distribuzione (rendendola più vicina alla divisa), quindi il guadagno ottenuto spesso supererà la piccola riduzione dell'insieme di password consentite.
Ma ci sono altri problemi con le regole
Credo che quando alcune di queste regole sono state introdotte per la prima volta, sono riuscite al loro obiettivo. Hanno sostanzialmente appiattito la distribuzione delle password create dall'uomo. Sono meno sicuro che ci riusciranno oggi, e quindi mi piacerebbe vedere una ricerca su questo. Poiché ciò pone un onere considerevole per gli utenti, non è qualcosa che dovremmo infliggerci, a meno che i benefici non siano abbastanza grandi e chiari quanto basta per renderlo utile.
Queste regole hanno portato molte persone a fraintendere grossolanamente ciò che rende una password strong o debole. Vedi "Ho aggiunto"! " alla fine per renderlo sicuro ". Sappiamo che aggiungendo un "!" non rende la password più sicura, ma per molti anni è stato detto alla gente che questo è il tipo di cosa che devono fare per scegliere una password sicura. Quindi non possiamo incolpare nessuno per aver raggiunto quella conclusione.
Sospetto anche che un certo numero di responsabili IT non capisca le ragioni di queste regole di complessità della password. Cioè, non sono solo gli utenti finali che sono stati ingannati nel corso degli anni, ma anche le persone che dovrebbero conoscere meglio. Per questo motivo è improbabile che rivalutino queste vecchie regole guardando a quello che sono (e non dovrebbero fare).
Ho paragonato l'adesione del responsabile IT alle regole sulla complessità delle password come a un "culto del carico". Sono arrivati a credere che le regole e le consuetudini siano vitali per la sicurezza, ma non hanno alcuna comprensione di come e così giudicare male quando tali regole dovrebbero essere abbandonate.