Le due difese che elencherai hanno lo scopo di proteggere da due diversi attacchi.
Unique password for every login
Questo è pensato per proteggere da una perdita di database delle password di qualcun altro. Anche se l'hacker risolve la tua password, è inutile in quanto consente solo l'accesso al singolo sito Web in cui si è verificata la perdita (che probabilmente hai cambiato nel momento in cui l'hacker ottiene la password).
Never use trivial password (ex: user name plus one digit)
Questo protegge da eventuali perdite di database delle password. Se il database di una password perde ( e la password è correttamente sottoposta a hash ), ciò rende più difficile (e forse impossibile, a seconda dell'entropia della tua password) che l'hacker inverta effettivamente l'hash e ottenga la tua password .
Questo potrebbe farti credere che una password sicura sia la difesa più importante di questi due. Tuttavia, non è possibile garantire che un sito Web blocchi la password correttamente. Ad esempio, nella massiccia violazione di Adobe di recente, le password non sono state salate. Ciò significava che gli aggressori potevano invertire molti grandi hash molto velocemente.
In questo modo, la tua password potrebbe perdere in testo normale o in una forma di crittografia reversibile; rendendo facile per l'utente malintenzionato conoscere la tua password anche se è strong . In questo caso, la tua unica difesa è assicurarsi di avere una password univoca per ogni sito.
Alla fine, è una tua scelta, ma nessuna difesa deve essere considerata sicura da sola. La mia raccomandazione è di utilizzare un gestore di password, per ottenere password forti e uniche per ogni sito.