Sto pensando di limitare i diritti degli utenti che scelgono password non sicure (l'insicurezza di una password determinata dalla lunghezza, quanti tipi di caratteri (maiuscole / minuscole, numeri, simboli, ecc.) sono usati, e se può essere posizionato in una tabella arcobaleno) per limitare la quantità di danni che il proprio account può fare se compromesso.
Non ho ancora un'applicazione per questa idea, ma dico che sto scrivendo un forum o qualcosa del genere: gli utenti che usano 1234 come password potrebbero dover compilare un captcha prima di postare, o essere soggetti a rigorosi anti- misure di spam come timeout o filtri bayesiani che rifiutano il loro contenuto. Se questo forum è molto gerarchico, consentendo la "promozione" ai moderatori o qualsiasi altra cosa con qualche mezzo, questo potrebbe impedire loro di ottenere privilegi o dire loro che hanno dei privilegi, ma non lasciare che li esercitino senza una modifica a un livello più sicuro password.
Ovviamente questa non può essere l'unica misura di sicurezza, ma potrebbe andare bene accanto ad altre buone pratiche di sicurezza.
Che ne pensi? Si sta solo esagerando, sottraendo l'attenzione a pratiche di sicurezza più importanti, oppure è un buon modo per limitare i rischi e incoraggiare gli utenti a usare password più sicure (e si spera che convincano le persone che stai usando buone pratiche di sicurezza)?