In base a questo articolo DropBox consiglia di utilizzare quattro numeri casuali comuni parole come password. Penso che sia buono se lo faccio solo io. Se tutti lo fanno, gli aggressori faranno sempre un attacco di dizionario (dizionario reale), e sarà molto facile da decifrare (numero di parole comuni ^ 4).
Quindi, è sicuro o no? Quando l'hacker sa che questo è ciò che stai facendo?
Lavoro sulla ricerca delle password e ho esaminato ampiamente i documenti relativi a zxcvbn e quelli di altri ricercatori nel campo.
Sì, la risposta riferito da @Arminius è corretto nel riassumere perché questo approccio mira a migliorare la sicurezza senza compromettere la memorabilità. Per favore, dai un'occhiata.
Il nocciolo della tua domanda è se sia facile creare un dizionario che incrina quelle password con 4 parole del dizionario diverse.
È vero che l'argomento principale degli approcci di cui sopra affronta solo il modello di minaccia "Bruteforce", quindi calcola l'entropia senza alcuna considerazione per un utente malintenzionato che ha accesso al dizionario iniziale.
Il loro approccio sembra suggerire che tutto ciò che conta è la "forza" della password senza riguardo a come vengono effettuati gli attacchi effettivi.
Bruce Schneier ha fatto un riassunto interessante dei commenti precedenti su questo. Diventa ancora di più se, come dice la tua premessa, "tutti usano questo schema" e l'attaccante lo sa.
Leggi altre domande sui tag authentication passwords hash