Algunas contraseñas como "123456", "admin" son escandalosamente populares, también lo son las transformaciones de leet y la concatenación de dígitos.
Los usuarios parecen captar las sugerencias de contraseñas o simplemente copian el patrón de contraseñas de otros sin pensar. Las contraseñas deben permanecer secretas, pero el hecho de que las contraseñas de diferentes usuarios en muchas bases de datos filtradas sean iguales o similares indica que las contraseñas no permanecen secretas. ¿Es solo una coincidencia que los usuarios estén utilizando la misma contraseña o las mismas reglas para transformar la contraseña?
La tendencia de la contraseña parece propagarse de los usuarios a los usuarios a medida que la información actual se propaga a través de Internet. Esta tendencia también llega al potencial atacante y, como resultado, en el caso de que la base de datos de contraseñas se filtre, el cracker tiene éxito. Las contraseñas que no están descifradas, no siguen la tendencia popular y, por lo tanto, no se ven afectadas por el cracker.
A menudo se argumenta que el humano elige contraseñas que son fáciles de recordar. Pero el hecho de que casi 300,000 usuarios de Rockyou usaron la contraseña "123456" indica que la mayoría de los usuarios simplemente imitan a otros de alguna manera para crear las contraseñas o es el caso de que la palabra generador en la mente humana está sesgada. Aprender por imitación es una característica evolutiva. Pero la creación de contraseñas necesita singularidad y no imitación.
Entonces, ¿es esta la limitación de la mente humana (ya sea por imitación o por un generador de palabras sesgadas), cuando se trata de la creación de contraseñas?
Para evitar la influencia de la propagación de la contraseña, ¿podemos dar sugerencias únicas a cada usuario para la creación de la contraseña? Las reglas de composición se aplican a cada usuario de ese sitio web, ¿puede modificarse para cada usuario?