Hay dos factores aquí.
En primer lugar, tienes razón, la entropía es la misma. Lo importante es el espacio de direcciones, no la utilización de ese espacio. Por tanto, siempre que los usuarios puedan utilizar símbolos, etc., eso es lo importante en primera instancia.
Sin embargo, el segundo factor es la posibilidad de adivinar o romper. ¿Se puede adivinar una contraseña usando tablas de arco iris? ¿Puede una contraseña ser forzada (por ejemplo, todos los caracteres son iguales)? Su ejemplo de 123456789012 no cumple con esto, ya que ciertamente estará en cualquier tabla de arcoíris decente porque es simple y común.
Así que la mejor práctica actual para contraseñas es que permite caracteres extendidos pero no aplica reglas específicas (que en cualquier caso reducen el espacio de direcciones). Recomienda contraseñas más largas – nota de «códigos», eliminando el énfasis en «palabras» – las buenas contraseñas pueden ser memorables pero no Y finalmente, debido a que está fomentando la complejidad, no estaría imponiendo cambios de contraseña de 30, 60 o incluso 90d. Al menos para los ID individuales, los ID compartidos / de administrador pueden ser un poco diferentes.
Mi sensación es que este enfoque es un buen equilibrio entre usabilidad y seguridad mejorada. Pero creo que idealmente debería auditar las bases de datos de códigos de acceso periódicamente para buscar códigos de acceso débiles.
Comentarios