Por lo tanto, entiendo por qué se utilizan las políticas de contraseña más utilizadas.
¿Mínimo de caracteres N? No quedan frutos bajos para ataques de fuerza bruta.
¿N caracteres máximos? El campo de la base de datos solo puede ser tan largo.
¿No hay unicode? La base de datos subyacente no lo admite.
¿Incluir al menos una letra, carácter especial, número y heredero? agrega algunos bits adicionales necesarios.
Sin embargo, el que no puedo entender de por vida es la regla en la que no pueden existir más de n caracteres consecutivos (generalmente dos de lo que me he encontrado) en la contraseña. No puedo pensar en una razón técnica para hacer esto, y en realidad reduce el conjunto de contraseñas disponibles, lo que hace que el ataque de fuerza bruta tome menos tiempo. Esta práctica parece demasiado extendida para no tener alguna justificación , simplemente no puedo pensar en lo que podría ser.