Todos conocemos las "reglas de contraseña" básicas cuando un usuario se registra en un sitio web, como:
¿Por qué los sitios web no filtran (como no acepta) las contraseñas débiles conocidas como:
¿Cuáles son los pros y los contras de este método y por qué no se utiliza ampliamente?
No se usa mucho porque si bloquea 123456, los usuarios usarán 1234567, bloquea qwerty, usarán qwertyu. Honestamente, "se omitirá el enfoque de la lista negra". Y esto hace que el resultado sea mínimo, en la medida en que no valga la pena implementarlo.
El enfoque podría ser beneficioso, pero cuando se combina con otros tipos de políticas como min-length, mayúsculas, dígitos, etc. Y usted ve este tipo de política en acción cuando los sistemas le impiden usar sus últimas contraseñas o alertas 'x' Usted que su contraseña no puede contener su nombre de usuario. (Y muchas contraseñas débiles se bloquean a través de las reglas de longitud / complejidad)
Una vez implementé algo como esto. Las palabras conocidas más largas se eliminarían de la contraseña antes de verificar su longitud. Por lo tanto, si ingresa "test438" como contraseña, se eliminará "test" y "438" es obviamente demasiado corto para ser una contraseña. Esto todavía permite contraseñas que combinan varias palabras conocidas.
Algunas personas que tenían contraseñas como "Test1234" se quejaron del nuevo sistema.
Lea otras preguntas en las etiquetas passwords password-policy registration