Estoy desarrollando un sitio web y tengo curiosidad acerca de las tendencias actuales en la naturaleza de las contraseñas. ¿Es bueno obligar a los usuarios a usar una letra, un capital, un número, un carácter especial, etc.? ¿Alienta esto a los usuarios a crear contraseñas más seguras o es solo un estorbo? Actualmente estoy pensando en una longitud mínima y para que esté en ascii. ¿Alguna de las otras cosas que vale la pena usar?
Basado en la fórmula de Anderson - > enlace
Lo más importante es la longitud de la contraseña, la segunda cosa más importante es el número de posibles signos / letras / números.
Si desea imponer una longitud mínima de 20 contraseñas, estará bien con solo letras.
20 ^ 24 = 16777216000000000000000000000000
Si es menos que eso pero más de 15, estarás bien con alfanuméricos.
15 ^ 34 = 9707397373664756887592375278472900390625
Lo que a menudo se pasa por alto es la seguridad física de la contraseña: la contraseña difícil de recordar se escribirá a menudo en una nota post-it, o se puede reconocer fácilmente cuando alguien está mirando por encima del hombro porque la escribirá lenta y cuidadosamente. Prefiero contraseñas más largas con varias palabras que son fáciles de recordar.
iwillnevertellyouthepassword - es irrompible en este momento y lo recordarás más fácilmente que $% FD # sffe2e
Creo que es ciertamente apropiado establecer restricciones en las contraseñas. ¡Pero depende de lo que estés tratando de proteger!
Dependiendo de qué información está protegiendo su sitio (y su sistema de autenticación). Es posible que pueda salirse con la configuración de restricciones para:
min_length = 6 y nunca caducan. Si bien no requiere ningún tipo de caracteres especiales en absoluto.
Pero si el sitio va a contener información realmente confidencial, debe establecer restricciones muy estrictas.
La configuración de seguridad en su sitio debe ser acorde con la importancia de los datos que están protegiendo.
Dicho esto, puedes ir muy lejos. Requerir una contraseña que tenga 32 caracteres de longitud y forzar un cambio cada 10 días va a enojar al usuario, anímelo a que escriba la contraseña o tal vez ni siquiera se moleste en usar el sitio (busque otra cosa) ..
En resumen: la última recomendación que recuerdo haber leído (no tengo un enlace para usted) fue de 12 caracteres como mínimo con al menos 1 número o carácter especial. También, considere implementar un sistema que deshabilite una cuenta durante un tiempo determinado (30 minutos, 2 horas, lo que sea) después de x la cantidad de inicios de sesión fallidos.
espero que esto ayude ..
Lea otras preguntas en las etiquetas passwords password-management password-policy