¿Qué tan simple podría ser una contraseña cuando la única información de la cuenta es la dirección de correo electrónico?

Quizás la mejor manera de pensar sobre esto es que si un usuario no autorizado descubrió un nombre de usuario y una contraseña y se conectó, ¿qué tan malo sería? Si su declaración es verdadera:

  

los únicos datos almacenados en la cuenta de usuario son su dirección de correo electrónico.

entonces esto implica que una vez que haya iniciado sesión, todo el sitio es de solo lectura. En otras palabras, la autenticación le da acceso a cierto contenido que, de lo contrario, no está disponible para el público. Si ese contenido se hiciera público, ¿perderías el sueño por eso? Si no, entonces probablemente no sea un gran problema desde el punto de vista de seguridad de su sitio para permitir contraseñas simples, ya que no tiene nada que proteger.

Dicho esto, aquí hay algunas razones por las que no debe permitir contraseñas fáciles, incluso si cumple con los criterios anteriores:

1. Anteriormente enfaticé específicamente la seguridad "de su sitio" porque su sitio puede ser seguro, pero también desea proteger a sus usuarios. Si un atacante puede adivinar la contraseña fácil de un usuario, posiblemente haya aprendido algo sobre el usuario. Tal vez la persona use la misma contraseña en otro sitio web, o como la contraseña de su teléfono, etc. Esta información en manos de un atacante podría dañar al usuario. Tenga en cuenta que puede solucionar este problema creando contraseñas para ellos en lugar de permitirles elegir la suya.
2. Si un atacante no conoce ninguna dirección de correo electrónico, tener contraseñas simples hace que sea más fácil adivinar una combinación de correo electrónico / contraseña, y así descubrir direcciones de correo electrónico. (Esta es la razón exacta por la que los errores de inicio de sesión en el sitio web no deben indicar "No se encontró la dirección de correo electrónico", sino más bien "No se encontró la combinación de correo electrónico / contraseña". Desea protegerse contra los atacantes que intentan extraer correos electrónicos).
3. ¿Qué sucede si en el futuro decide agregar funcionalidad al sitio web? Por ejemplo, es posible que desee permitir que las personas publiquen comentarios o "gusten" algo. Entonces estaría almacenando datos específicos para una persona y tendría más para proteger, y podría ser una molestia cambiar su sistema de contraseña una vez que el sitio sea implementado y utilizado por muchas personas.

En resumen, estoy de acuerdo con los criadores. También recomendaría usar contraseñas seguras o un método de autenticación diferente.

En lugar de hacer contraseñas, considere otras opciones, como enlaces de correo electrónico de un solo uso al correo electrónico. Está aprovechando la protección del sistema de correo electrónico, evitando tener que almacenar las contraseñas correctamente, evitando que los usuarios tengan que recordar una (o, peor aún, reutilizando una con usted).

Otras opciones incluyen integraciones de Twitter, Facebook o Google, con OpenID u OAuth.

Si no está satisfecho con las contraseñas, use una opción diferente. Pero si vas a usar contraseñas, usa las fuertes.