La regola di composizione della password è considerata un onere per gli utenti e alcuni esperti raccomandano l'aumento della lunghezza della password anziché imporre agli utenti il rispetto delle regole di composizione.
Ma il mio punto è che, in assenza di una regola di composizione, l'utente imposta password semplici come risulta dall'analisi del database Rockyou. Le password semplici indicano parole comuni del dizionario, nomi di persone e città. Inoltre, le password sono composte principalmente da lettere minuscole.
Le password teoricamente più lunghe (lunghezza minima 16) forniscono maggiore sicurezza rispetto alle password create in base alle regole di composizione (lunghezza minima 8 con lettere minuscole, lettere maiuscole, cifre e simboli). Ma non possiamo dire lo stesso delle 16 password di lunghezza se sono impostate dagli umani. Se domani ognuno inizia a utilizzare password più lunghe e si verifica una violazione come Rockyou, l'utente malintenzionato può apprendere le strategie alla base della creazione di password più lunghe. L'utente malintenzionato può quindi creare un nuovo dizionario e attendere la perdita di alcuni database con hash.
Quindi quanto è buono il suggerimento di aumentare la lunghezza della password?
La passphrase creata dagli umani è più lunga ma potrebbe essere più facile da indovinare. Ma le passphrase generate casualmente sono sicure se le parole sono scelte casualmente dal dizionario di dimensioni ragionevoli. Perché i siti Web non assegnano passphrase casuale e utenti liberi di qualsiasi regola di composizione?