Tutti conosciamo le "regole della password" di base quando un utente si registra su un sito Web, ad esempio:
Perché i siti Web non filtrano (come in non accettano) password deboli note come:
Quali sono i pro e i contro di un tale metodo e perché non è ampiamente utilizzato?
Non è ampiamente utilizzato perché se blocchi 123456, gli utenti useranno 1234567, tu blocchi qwerty che useranno qwertyu. Onestamente, "L'approccio della lista nera sarà aggirato". E questo rende il risultato minimo, nella misura in cui non vale la pena implementarlo.
L'approccio potrebbe essere vantaggioso se abbinato ad altri tipi di politiche come min-length, maiuscolo, cifre, ecc. E vedi questo tipo di policy in azione quando i sistemi ti impediscono di usare le tue ultime 'x' password o allarmi tu che la tua password non può contenere il tuo nome utente. (E molte password deboli sono bloccate tramite regole di lunghezza / complessità)
Una volta ho implementato qualcosa di simile. Le parole più lunghe saranno rimosse dalla password prima di controllarne la lunghezza. Quindi se inserisci "test438" come password, "test" viene rimosso e "438" è ovviamente troppo breve per essere una password. Ciò consente ancora le password che combinano più parole conosciute.
Alcune persone con password come "Test1234" si sono lamentate del nuovo sistema.
Leggi altre domande sui tag passwords password-policy registration