Qual è la migliore (o buona) pratica per trattare con gli utenti, che sono determinati a riutilizzare la loro vecchia password, che sia buona o cattiva? O semplicemente usa una password errata?
Scenario:
Un utente vuole creare un account sul nostro sito web. Abbiamo alcuni criteri come lunghezza e caratteri speciali. L'utente inserisce quindi la propria password abituale, che consulta il link per verificare se si è verificata una violazione. In questo caso, la password dell'utente è stata trapelata in passato.
A questo punto, abbiamo un paio di opzioni:
- Informa l'utente in modo amichevole, che la sua password non è sicura, perché è stata fatta trapelare prima
- Dì loro 1. e di 'loro che non possono usare quella password, perché potrebbe mettere a rischio il proprio account
- Dì loro 1. ma consenti loro di usarlo, se spuntano una casella di controllo che dice "Sono consapevole che sto usando una password che è stata trapelata"
Ovviamente, la cosa migliore è non lasciare che usino quella password, tuttavia, alcuni utenti potrebbero non tollerarlo. Io di certo non lo farei, ma dipende completamente dal caso. L'opzione 3 è interessante, perché se vengono hackerati e ci fanno causa per aver consentito loro di utilizzare una password errata, possono sempre dichiarare di non vedere la casella di controllo.
Ci sono stati articoli su questo, con qualsiasi tipo di prova, che dimostra che un metodo è migliore dell'altro? Qualche statistica in merito?
So che Microsoft impone il buon vecchio "abbiamo notato che hai provato a cambiare la password con una password precedente" . Certamente alcuni pensieri devono averli fatti passare per la mente, se non consentono agli utenti di usare vecchie password.