¿Cuál es exactamente el impacto en la seguridad cuando obliga a las contraseñas de los usuarios a contener un carácter en particular?

Cuando se les deja a sus propios dispositivos, las personas tienden a elegir contraseñas débiles (por ejemplo, el nombre de sus hijos / madre / novia / monarca). Eso es un hecho de la vida. Educar a los usuarios para las virtudes de contraseñas difíciles de adivinar a través de la aleatoriedad es una tarea agotadora y que consume mucho tiempo. A menudo parece más fácil y rápido desalojar a los usuarios de su zona de confort, obligándolos a elegir las contraseñas en un conjunto que lo hará "por construcción" más aleatorio. La mayoría de las novias no tienen un '$' en su nombre, por lo que la adición obligatoria del signo de dólar hará que la contraseña sea "más aleatoria", o eso se espera. Sin embargo, en la práctica, las personas primero piensan en la contraseña que les gustaría tener, luego agregan (agregando adjuntando ) lo que sea necesario para apaciguar al administrador de sistemas; Así que pondrán el signo de dólar al final, casi sistemáticamente. La contraseña no será "Gwendoline" sino "Gwendoline $". Por lo tanto, la seguridad adicional es, en el mejor de los casos, leve. Y los usuarios estarán menos contentos, es decir, si todo lo demás es igual, es algo malo para la seguridad.

Básicamente, está reduciendo la entropía general de su contraseña, ya que uno de los personajes siempre será conocido.

Este efecto se amplifica aún más por el hecho de que la mayoría de los humanos son criaturas predecibles. Si los obliga a colocar un carácter arbitrario en algún lugar de su contraseña, existe una gran posibilidad de que ese personaje sea el primero o el último en la contraseña.