EDIT - Hey down voter (s), controlla il documento. Immagino che tu abbia paura di un dibattito ragionevole in questo spazio. Forse, come comunità di sicurezza, stiamo infliggendo inutili sofferenze ai nostri utenti. Vale la pena esplorare?
Mi sono sempre chiesto delle regole per le password e ho ritenuto che non sarebbero state necessarie.
Questo documento sostiene (abbastanza efficacemente) che dovremmo riconsiderare la segretezza dell'Utente e scaricare la password complessa regole. Cioè, non utilizzare le informazioni pubbliche (come l'indirizzo di posta elettronica) per l'ID utente e invece l'organizzazione assegnare un ID utente. Se consideri l'entropia totale dell'account, cioè log(UserID)+log(Password)
, allora un ID utente più ampio e non facilmente indovinato funziona contro un utente malintenzionato, nel frattempo l'utente può impostare il browser o la sua app per ricordare l'ID utente. L'utente può anche conservare un file (crittografato o meno, non importa) con i mapping sito / applicazione / user_id sul computer.
Se vuoi dire che questo lascia l'utente aperto agli attacchi di malware, beh, allora, le password complesse non lo fermeranno neanche.
Se si desidera scrivere l'ID su carta, quindi (1) chiuderlo in un cassetto (al lavoro / a casa) o (2) lasciarlo nascosto da qualche parte vicino al computer (a casa). Un Real Attacker (tm) con accesso fisico a un computer ha molte opzioni oltre a richiedere un id utente (o anche una password). Registratori di chiavi fisiche, copie del disco, singoli utenti e unità esterne, ecc. Se il computer è a casa, un essere umano abbastanza vicino da rubare un ID utente dalla carta (bloccato o meno) è l'ultima delle preoccupazioni del proprietario del computer. / p>
Tuttavia, mantenere una copia elettronica dell'ID utente sul computer va bene. Stiamo difendendo contro l'attacco più probabile qui (indovinando la password attraverso l'interwebs), non il meno probabile.
Uno dei miei istituti finanziari fa questo (ID account assegnato) e consente una password numerica. Sento che il mio account è abbastanza sicuro.