Dato che si controlla che una password non sia una password comune e non presenti in un db con password compromesse, i requisiti di complessità della password (ad esempio almeno 1 carattere minuscolo e 1 maiuscolo e 1 carattere speciale) riducono la sicurezza riducendo la ricerca spazio senza alcun vantaggio?
Note: Assume that passwords are hashed using bcrypt with a cost around 14-16.
Wanted to post my own reasoning in the question as I have given this some thought and the reason I am posting this as a question is to check my reasoning. For all I know this answer might get downvoted :) .
Voglio dire, l'argomento generale - a quanto ho capito - è che i requisiti di complessità della password richiedono all'utente di scegliere una password da uno "spazio" maggiore, riducendo così le possibilità di scegliere una password pericolosa poiché molte password non sicure sono solo alfa minuscolo (anche se chiaramente non tutto, come Password1! ).
Quando viene controllato qualcosa come haibeenpawned , si tratta di un controllo migliorato che rimuove la maggior parte dello spazio "password non sicura". Invece di considerare tutte le password alfa minuscole non sicure, utilizza invece i dati effettivi per determinare quali password sono o non sono sicure (si presuppone che il set di password compromesse sia estremamente simile alle password non sicure). La combinazione di entrambe le regole di complessità con un controllo del database delle password compromesso elimina quindi principalmente la parte "sicura" dello spazio alfa in minuscolo, bloccando password sicure che vengono catturate da regole di complessità della password come passphrase (ad esempio catwindowlightpencil ).
La figura sopra non comprende tutte le password, ma confronta le password con le regole di complessità della password che bloccano con le password che desideri bloccare. La password non sicura impostata è quella che desideri bloccare, la password compromessa è un sottoinsieme che puoi bloccare, il set alfa minuscolo è quello che blocchi con le regole di complessità della password.
Note: Obviously new 'dumb' passwords can be 'created'. For example, a new pop idol might become popular during the past week or Microsoft might buy Github, but not yet show up in a compromised password database. Similarly someone might use a product name as a password of a product that has not been compromised yet.
Ridurrà lo spazio di ricerca?
Sì , ma verrà eliminata solo una parte estremamente piccola di essa: assumiamo che consideriamo i caratteri k , di cui 26 caratteri minuscolo. Consideriamo una password di caratteri n . La frazione dello spazio di ricerca che viene trascurata rifiutando le password in minuscolo sarebbe quindi (26 / k) ^ n.
Per n = 8 (che nella maggior parte dei casi è la lunghezza minima) e k = 128 (che è il numero di caratteri ASCII *), questo si traduce in una frazione 2.9 * 10 ^ -6 dello spazio di ricerca.
Riduce la sicurezza?
No , non lo farà, perché lo spazio di ricerca è praticamente inalterato. La complessità della tua password è ancora O (k ^ n).
* ammesso, non tutti sono adatti per digitare una password, ma la maggior parte di essi sono
Leggi altre domande sui tag passwords password-policy