¿Pros y contras de la política de contraseña que filtra las contraseñas débiles comunes? [duplicar]

0

Todos conocemos las "reglas de contraseña" básicas cuando un usuario se registra en un sitio web, como:

  • más de 8 caracteres,
  • debe contener una letra mayúscula,
  • debe contener números y así sucesivamente

¿Por qué los sitios web no filtran (como no acepta) las contraseñas débiles conocidas como:

  • 123456
  • qwerty
  • contraseña

¿Cuáles son los pros y los contras de este método y por qué no se utiliza ampliamente?

    
pregunta Mxsky 02.05.2016 - 13:57
fuente

2 respuestas

1

No se usa mucho porque si bloquea 123456, los usuarios usarán 1234567, bloquea qwerty, usarán qwertyu. Honestamente, "se omitirá el enfoque de la lista negra". Y esto hace que el resultado sea mínimo, en la medida en que no valga la pena implementarlo.

El enfoque podría ser beneficioso, pero cuando se combina con otros tipos de políticas como min-length, mayúsculas, dígitos, etc. Y usted ve este tipo de política en acción cuando los sistemas le impiden usar sus últimas contraseñas o alertas 'x' Usted que su contraseña no puede contener su nombre de usuario. (Y muchas contraseñas débiles se bloquean a través de las reglas de longitud / complejidad)

    
respondido por el Silverfox 02.05.2016 - 14:31
fuente
1

Una vez implementé algo como esto. Las palabras conocidas más largas se eliminarían de la contraseña antes de verificar su longitud. Por lo tanto, si ingresa "test438" como contraseña, se eliminará "test" y "438" es obviamente demasiado corto para ser una contraseña. Esto todavía permite contraseñas que combinan varias palabras conocidas.

Algunas personas que tenían contraseñas como "Test1234" se quejaron del nuevo sistema.

    
respondido por el Sjoerd 02.05.2016 - 16:07
fuente

Lea otras preguntas en las etiquetas