¿Sería más seguro imponer "al menos una mayúscula" o imponer "al menos una letra (en cualquier caso)"

El efecto de una política de contraseña depende de cómo responden a ella tanto los usuarios como los atacantes. Desafortunadamente, puede contar con que sus usuarios sean perezosos y que sus atacantes sean creativos.

En general, agregar más restricciones a las contraseñas tiene el siguiente efecto:

• La entropía efectiva de una contraseña buena (es decir, aleatoria) disminuye un poco, ya que todas las contraseñas prohibidas se eliminan del espacio de búsqueda de los atacantes.
• El usuario perezoso podría ganar un poco (después de todo, Password1! es mejor que password ). Por otro lado, la carga de cumplir con todas las reglas podría provocar que el usuario se rinda e ingrese con una contraseña terrible que pasa la prueba solo para que la maldita forma se envíe.

Al final, esta es una pregunta empírica sobre el comportamiento del usuario y no matemática sobre los cálculos de entropía. Diría que ambas alternativas son igualmente malas, pero eso es solo una suposición. Afortunadamente, hay mejores alternativas:

• Descarte todas las condiciones (excepto la longitud 1) y en su lugar, en la lista negra contraseñas filtradas .
• Considere suavizar las otras reglas y aumente la longitud mínima, en lugar de 10 o quizás 12.

Ha habido muchas discusiones sobre políticas de contraseñas, siempre que surge una pregunta como esta, siempre publico el XKCD obligatorio primero: enlace

Pero para responder a tu pregunta: depende.

Si desea evitar que los usuarios utilicen palabras del diccionario, puede aceptar cualquiera de las reglas que propuso. Pero prefiero insinuar a los usuarios con un texto como: "No utilice palabras existentes como su contraseña" en el formulario de contraseña.

Cuando desee evitar que las personas reutilicen sus contraseñas: sugeriría que agregue una sugerencia al formulario de contraseña. "Nunca elija una contraseña que use en otro lugar", en lugar de intentar encontrar una combinación de reglas que no se use en ningún otro lugar.

Finalmente, cuando intenta "aumentar" la "seguridad" de una contraseña contra el craqueo de fuerza bruta: lo único que realmente importa es la duración. De hecho: con un conjunto de reglas de composición de contraseñas, el cracker puede incluso excluir una gran parte de las combinaciones, por lo que solo está haciendo que la contraseña sea más débil desde esa perspectiva.

  

Me gustaría reemplazar "Mínimo 1 letra (en cualquier caso)" con "Mínimo 1 en mayúsculas".

Esto haría que un ataque de diccionario sea un poco más difícil, pero el 99% de las personas escribirá en mayúscula la primera letra, y una buena herramienta de crackers usa eso en su beneficio.

Nuevamente: hay muchas discusiones sobre el tema, estos son solo mis 2 centavos. Odio que me obliguen a que mi administrador de contraseñas haga una excepción estúpida para cumplir con un conjunto elaborado de requisitos.

En lugar de combinar bicicletas por encima de los requisitos, solo asegúrese de que las contraseñas estén almacenadas de forma segura. Usa un fuerte hachís y sal.

Sinceramente, dudo que haga mucha diferencia en ambos sentidos. Con su conjunto de reglas original, la mayoría de los usuarios no capitalizarán en absoluto. Con su conjunto de reglas modificadas, la mayoría de los usuarios escribirán en mayúscula la primera letra.

Ese es el problema con las reglas de contraseña. Los usuarios harán lo mínimo para cumplir con ellos. Así que terminan agregando mucho menos entropía de lo que usted esperaría.