Sí y no.
No
El "no" es obvio. Cualquier cosa que limite los tipos de contraseñas que puede crear reduce el espacio de búsqueda. Otros han mostrado las matemáticas en eso.
Sí
La parte "sí" es más sutil, y ya no estoy seguro de que sea cierta, ya que no he visto ninguna investigación reciente sobre esto.
Las contraseñas que cumplen con las "reglas de complejidad" no son inherentemente más seguras que las contraseñas que no lo hacen. Y, de hecho, hay un sentido muy real en el que las reglas de complejidad debilitan las contraseñas. Pero cuando les pedimos a las personas que cumplan con las reglas de complejidad, tienden a generar mejores contraseñas.
Entonces, el valor de estos requisitos tiene que ver con la psicología y el comportamiento humano. Si establece ciertas "reglas de complejidad", es más probable que obtenga una mejor creación de contraseña.
Un caso simple
Como se señala en su totalidad, cualquier cosa que reduzca el conjunto de contraseñas que las personas pueden crear hará que el sistema sea más débil. Pero ahora considera las siguientes dos políticas
Política 1: las contraseñas pueden ser de cualquier secuencia de 8 a 24 caracteres y consisten en el carácter imprimible de US-ASCII.
Política 2: igual que la política 1 excepto que las contraseñas pueden no estar entre una lista de las 10,000 contraseñas más comunes.
Tenga en cuenta que la política 2 define un subconjunto adecuado del conjunto definido por la política 1 y, por lo tanto, es más débil en cierto sentido. Pero espero que la mayoría de la gente esté de acuerdo en que la política 2 es mucho más probable que produzca contraseñas más seguras que la política 1.
Resolviendo la paradoja
Puede parecer paradójico que restringir el conjunto de contraseñas que pueden usarse tendería a aumentar la seguridad de la contraseña creada, pero la clave para resolver la paradoja es reconocer que no solo es la cantidad de contraseñas que pueden Ser generado por un sistema que importa, pero la distribución de los mismos.
Si fuera tan probable que se eligiera una contraseña "legal" como cualquier otra, entonces restringir el conjunto sería perjudicial. Pero sabemos que algunas contraseñas son mucho más comúnmente elegidas que otras. La distribución de contraseñas elegidas por los humanos está muy lejos de ser uniforme. (Superficialmente, puede parecer que sigue una distribución de ley de poder, pero no lo hace en análisis más detallado .
Pero las contraseñas elegidas por los humanos siguen una distribución muy "tonta", incluso si no es una distribución de ley de poder. Si encontramos que imponer algunas restricciones aplanan la distribución (acérquese a la uniformidad), entonces la ganancia de hacerlo a menudo superará la pequeña reducción del conjunto de contraseñas permitidas.
Pero hay otros problemas con las reglas
Creo que cuando se introdujeron algunas de estas reglas por primera vez, tuvieron éxito en su objetivo. Ellos aplanaron sustancialmente la distribución de contraseñas creadas por humanos. Estoy menos seguro de que tengan éxito con esto hoy, y por eso me gustaría ver investigaciones sobre esto. Dado que esto supone una carga importante para los usuarios, no es algo que debamos infligirles a menos que los beneficios sean lo suficientemente grandes y claros para que valga la pena.
Estas reglas han llevado a muchas personas a entender mal lo que hace que una contraseña sea fuerte o débil. Consulte "Agregué '!' al final para hacerlo seguro ". Sabemos que añadiendo un "!" no hace que una contraseña sea más segura, pero durante muchos años se ha dicho a las personas que ese es el tipo de cosas que deben hacer para elegir una contraseña segura. Así que no podemos culpar a nadie por llegar a esa conclusión.
También sospecho que varios administradores de TI no entienden los motivos de estas reglas de complejidad de contraseña. Es decir, no solo los usuarios finales han sido engañados a lo largo de los años, sino también las personas que deberían saber más. Debido a esto, es poco probable que vuelvan a evaluar estas reglas de décadas observando lo que son (y no se supone que deben hacer).
He comparado la adherencia del administrador de TI a las reglas de complejidad de las contraseñas como un "culto a la carga". Han llegado a creer que las reglas y las costumbres son vitales para la seguridad, pero no entienden cómo y por lo tanto juzgan mal cuando deben abandonarse esas reglas.