Există două factori aici.
În primul rând, aveți dreptate, entropia este aceeași. Ceea ce este important este spațiul de adrese, nu utilizarea spațiului respectiv. Deci, atâta timp cât utilizatorii pot utiliza simboluri etc., acest lucru este important în prima instanță.
Cu toate acestea, al doilea factor este ghicibilitatea sau ruptura. Se poate ghici o parolă folosind mesele curcubeu? Poate o parolă să fie forțată brute (de exemplu, toate caracterele la fel). Exemplul dvs. de 123456789012 este greșit, deoarece va fi cu siguranță în orice tabel curcubeu decent, deoarece este simplu și comun.
Deci, cea mai bună practică actuală pentru parole este că permiteți caractere extinse, dar nu aplicați reguli specifice (care, în orice caz, reduc spațiul de adresă). Încurajați coduri de acces mai lungi – nota „coduri”, eliminând accentul pe „cuvinte” – codurile de acces bune pot fi memorabile, dar nu sunt Și, în sfârșit, pentru că încurajați complexitatea, nu veți aplica modificări ale codului de acces 30, 60 sau chiar 90d. Cel puțin pentru ID-urile individuale, ID-urile partajate / de administrare pot fi puțin diferite.
Sentimentul meu este că această abordare este un bun echilibru între utilizare și securitate sporită. Dar cred că în mod ideal ar trebui să auditați periodic bazele de date cu coduri de acces pentru a căuta coduri de acces slabe.
Comentarii