He estado buscando formas de mejorar la seguridad y la concientización sobre la seguridad de los clientes tanto internos como externos y se me ocurrió la idea de generar una "sugerencia de contraseña" aleatoria y única en las pantallas de registro y cambio de contraseña, similares a lo siguiente:
Suponiendo que:
- La contraseña se genera al indexar todas las palabras de 5 a 8 letras en un diccionario de Scrabble (alrededor de 70,000 palabras en total) y usar un servicio de criptografía RNG para elegir índices aleatorios;
- La página se ve a través de una conexión SSL;
- La contraseña es un nonce, es decir, el servidor no la guarda en ningún lugar;
- En realidad, a los usuarios no se les asigna esta contraseña; aún pueden crear la suya, por ejemplo, si están sentados en una terminal pública.
¿Es esta una buena idea o una mala idea? Personalmente, me gusta la idea, pero me preocupa que mi entusiasmo y optimismo como desarrollador pueda estar eclipsando algunos efectos secundarios negativos no deseados de un esquema como este.
¿Debo seguir adelante con esto? ¿Hay formas de mejorar y / u otras cosas que debo tener en cuenta?