Por ejemplo, OWASP considera 10-128 caracteres, con caracteres inferiores, superiores, dígitos y especiales. personajes (no entiendo por qué hay un límite superior). Usando las pautas mínimas de OWASP y asumiendo que hay 28 caracteres especiales, la entropía es 3e19. Pero con una contraseña de 16 caracteres con solo letras minúsculas es 4e22. Tirar en mayúsculas y es 2e27. Las computadoras pueden calcular a una velocidad bastante rápida, pero sea lo que sea, reduce la entropía, lo que significa que la diferencia no es de 22 ceros a 19, sino de 5 a 2, es decir, las diferencias son enormes.
Si la longitud es una preocupación, 12 caracteres inferiores + superiores son 3e20. Otras grandes empresas siguen obligando a las personas a usar un mínimo de 8 con caracteres especiales. ¿Por qué obligar a las personas a usar caracteres especiales (y a números de extensión) cuando otros 2 caracteres no solo son más seguros sino que son mucho más fáciles de recordar? ¿Por qué son tan anales sobre esto?
Algunas personas argumentan que las contraseñas de larga duración son malas porque las personas solo usan palabras reales, lo que limita mucho la entropía. A eso diría lo mismo con contraseñas más cortas, por lo tanto, los ataques de diccionario + regla. Forzar números y / o caracteres especiales solo genera contraseñas como [word]1!
o, peor aún, Password1!
. Alguien puede explicar por qué los caracteres especiales son una necesidad para las contraseñas seguras o por qué se considera así a pesar de la evidencia en su contra.