EDITAR - Oiga el (los) votante (s), revise el documento. Supongo que tienes miedo de un debate razonable en este espacio. Tal vez, nosotros como comunidad de seguridad estamos infligiendo un dolor innecesario a nuestros usuarios. ¿Vale la pena explorar?
Siempre me he preguntado acerca de las reglas de contraseña y sentí que podrían no ser necesarias.
Este documento sostiene (con bastante eficacia) que debemos reconsiderar el secreto de la ID de usuario y el volcado de contraseña compleja reglas. Es decir, no utilice información pública (como la dirección de correo electrónico) para la ID de usuario y, en su lugar, haga que la organización asigne una ID de usuario. Si considera la entropía total de la cuenta, es decir, log(UserID)+log(Password)
, entonces una ID de usuario más grande y no fácil de adivinar funciona contra un atacante, mientras que el usuario puede configurar su navegador o su aplicación para recordar la ID de usuario. El usuario también puede mantener un archivo (cifrado o no, no importa) con las asignaciones de sitio / aplicación / id_usuario en la computadora.
Si quieres argumentar que esto deja al usuario abierto a los ataques de malware, bueno, las contraseñas complejas tampoco lo detendrán.
Si desea escribir la ID en un papel, entonces (1) guárdelo en un cajón (en el trabajo / casa) o (2) déjelo escondido en algún lugar cerca de la computadora (en casa). Un Real Attacker (tm) con acceso físico a una computadora tiene muchas opciones más allá de necesitar una identificación de usuario (o incluso una contraseña). El registrador de claves físicas, las copias en disco, los arranques de un solo usuario y el disco externo, etc. Si la computadora está en casa, una persona lo suficientemente cerca como para robar una identificación de usuario del papel (bloqueada o no) es la menor preocupación del propietario de la computadora.
Aún así, mantener una copia electrónica de la ID de usuario en la computadora está bien. Estamos defendiendo contra el ataque más probable aquí (adivinanzas de contraseña a través de las redes), no lo menos probable.
Una de mis instituciones financieras hace esto (ID de cuenta asignada) y permite una contraseña numérica. Siento que mi cuenta es bastante segura.