Są dwa czynniki.
Po pierwsze, masz rację, entropia jest taka sama. Ważna jest przestrzeń adresowa, a nie wykorzystanie tej przestrzeni. Tak długo, jak użytkownicy mogą używać symboli itp., „Jest to ważne” w pierwszej kolejności.
Jednak drugim czynnikiem jest zgadywalność lub łamliwość. Czy za pomocą tęczowych tabel można odgadnąć hasło? Czy hasło można wymusić brutalnie (np. Wszystkie znaki są takie same). Twój przykład 123456789012 jest tego zły, ponieważ z pewnością znajdzie się w każdym przyzwoitym stole tęczowym, ponieważ jest prosty i powszechny.
Tak więc obecna najlepsza praktyka dotycząca haseł to że zezwalasz na rozszerzone znaki, ale nie wymuszasz określonych reguł (które w każdym przypadku zmniejszają przestrzeń adresową). Zachęcasz do stosowania dłuższych haseł – uwaga o „kodach”, usuwając nacisk na „słowa” – dobre hasła mogą być zapamiętane, ale nie są zgadywalne. I wreszcie, ponieważ zachęcasz do złożoności, nie wymuszasz 30, 60 lub nawet 90 dni zmiany hasła. Przynajmniej w przypadku identyfikatorów indywidualnych, identyfikatory współdzielone / administratora mogą być trochę inne.
Mam wrażenie, że takie podejście zapewnia dobrą równowagę między użytecznością a zwiększonym bezpieczeństwem. Ale myślę, że najlepiej byłoby okresowo sprawdzać bazy danych z hasłami, aby znaleźć słabe hasła.
Komentarze