La regla de composición de la contraseña se considera una carga para los usuarios y algunos expertos recomiendan el aumento de la longitud de la contraseña en lugar de obligar a los usuarios a cumplir con las reglas de composición.
Pero mi punto es que en ausencia de cualquier regla de composición, el usuario establece contraseñas fáciles, como se desprende del análisis de la base de datos de Rockyou. Las contraseñas fáciles significan palabras comunes del diccionario, nombres de persona y ciudad. Además, las contraseñas se componen principalmente de letras minúsculas.
Las contraseñas teóricamente más largas (longitud mínima 16) proporcionan más seguridad que las contraseñas creadas según las reglas de composición (longitud mínima 8 con minúsculas, mayúsculas, dígitos y símbolos). Pero no podemos decir lo mismo de las 16 contraseñas de longitud si son establecidas por los humanos. Si mañana todos comienzan a usar contraseñas más largas y ocurre una brecha como Rockyou, entonces el atacante puede aprender las estrategias detrás de la creación de contraseñas más largas. El atacante puede crear un nuevo diccionario y esperar a que se filtre alguna base de datos con hash.
Entonces, ¿qué tan buena es la sugerencia de aumentar la longitud de la contraseña?
La frase de contraseña creada por los humanos es más larga pero podría ser más fácil de adivinar. Pero las frases de paso generadas al azar son seguras si las palabras se eligen al azar del diccionario de tamaño razonable. ¿Por qué los sitios web no asignan frases de paso aleatorias y usuarios gratuitos de cualquier regla de composición?