Sarebbe più sicuro applicare "almeno un maiuscolo" o applicare "almeno una lettera (in ogni caso)"

L'effetto di un criterio password dipende dal modo in cui gli utenti e gli aggressori rispondono ad esso. Sfortunatamente, puoi contare sul fatto che i tuoi utenti siano pigri e che i tuoi attaccanti siano creativi.

In generale, l'aggiunta di ulteriori restrizioni alle password ha il seguente effetto:

• L'entropia effettiva di una password buona (casuale) diminuisce leggermente poiché tutte le password proibite vengono rimosse dallo spazio di ricerca degli autori di attacchi.
• L'utente pigro potrebbe guadagnare un po '(dopotutto, Password1! è migliore di password ). D'altra parte, l'onere di rispettare tutte le regole potrebbe indurre l'utente a rinunciare e passare con una password terribile che supera il test solo per ottenere il maledetto modulo da inviare.

Alla fine, questa è una domanda empirica sul comportamento dell'utente e non matematica sui calcoli di entropia. Direi che entrambe le tue alternative sono ugualmente cattive, ma è solo un'ipotesi. Fortunatamente, ci sono alternative migliori:

• Rilascia tutte le condizioni (tranne quella di lunghezza) e invece la password persa .
• Considera l'attenuazione delle altre regole e aumenta invece la lunghezza minima, a 10 o forse a 12.

Ci sono state molte discussioni sulle policy delle password, ogni volta che emerge una domanda come questa, inserisco sempre prima l'obbligatorio XKCD: link

Ma per rispondere alla tua domanda: dipende.

Se vuoi impedire agli utenti di usare le parole del dizionario, puoi seguire le regole che hai proposto. Ma preferisco suggerire agli utenti un testo come: "Non usare le parole esistenti come password" nella forma della password.

Quando vuoi impedire alle persone di riutilizzare le loro password: suggerirei di aggiungere un suggerimento al modulo della password. "Non scegliere mai una password che usi da qualche altra parte" invece di provare a creare combinazioni di regole che non vengono utilizzate da nessun'altra parte.

Infine, quando si sta tentando di "aumentare" la "sicurezza" di una password contro il brute force cracking: la lunghezza è l'unica cosa che conta davvero. Infatti: con un set di regole per la composizione della password, il cracker può persino escludere una grande porzione di combinazioni, quindi stai solo rendendo la password più debole da quella prospettiva.

I would like to replace "Minimum 1 letter (any case)" with "Minimum 1 Uppercase letter".

Ciò renderebbe un po 'più difficile l'attacco di un dizionario, ma il 99% delle persone metterà in maiuscolo la prima lettera e un buon strumento di cracker lo userà a proprio vantaggio.

Ancora: ci sono molte discussioni sull'argomento, questi sono solo i miei 2 centesimi. Lo odio quando sono costretto a fare in modo che il mio gestore di password faccia qualche stupida eccezione per soddisfare un complesso insieme di requisiti.

Al posto dello slittamento delle biciclette rispetto ai requisiti, assicurati che le password siano archiviate in modo sicuro. Usa un hash strong e sale.

Sinceramente dubito che faccia molta differenza in entrambi i casi. Con la tua regola originale la maggior parte degli utenti non capitalizzerà affatto. Con la tua serie di regole modificate, la maggior parte degli utenti capitalizzerà la prima lettera.

Questo è il problema con le regole della password. Gli utenti faranno il minimo indispensabile per rispettarli. Quindi finiscono per aggiungere molta meno entropia di quanto ci si potrebbe aspettare.