¿Cuál es la mejor (o buena) práctica para tratar con usuarios que están decididos a reutilizar su contraseña anterior, ya sea buena o mala? ¿O simplemente usar una contraseña incorrecta?
Escenario:
Un usuario desea crear una cuenta en nuestro sitio web. Tenemos algunos criterios como la longitud y los caracteres especiales. Luego, el usuario ingresa su contraseña habitual, que buscamos en enlace para ver si ha habido algún incumplimiento. En este caso, la contraseña del usuario se ha filtrado en el pasado.
En este punto, tenemos un par de opciones:
- Dígale al usuario de manera amigable, que su contraseña es insegura, porque se ha filtrado antes
- Dígales 1. y diles que no pueden usar esa contraseña, ya que podría poner en riesgo su cuenta
- Dígales 1. pero permítales que lo usen, si marcan una casilla que dice "Soy consciente de que estoy usando una contraseña que se ha filtrado"
Obviamente, lo mejor es no permitirles usar esa contraseña, sin embargo, es posible que algunos usuarios no lo toleren. Ciertamente no lo haría, pero depende completamente del caso. La opción 3 es interesante, porque si son pirateados y nos demandan por permitirles usar una contraseña incorrecta, siempre pueden decir que no vieron la casilla de verificación.
¿Ha habido algún documento sobre esto, con algún tipo de prueba, que demuestre que un método es mejor que el otro? ¿Alguna estadística al respecto?
Sé que Microsoft hace cumplir el antiguo . "notamos que intentaste cambiar la contraseña a una contraseña anterior que tenías" . Ciertamente, algunos pensamientos deben haber pasado por sus mentes, si no permiten que los usuarios usen contraseñas antiguas.