los medidores de seguridad de contraseñas a menudo son erróneos en su apreciación de lo que hace que una contraseña sea buena. A menudo le piden que seleccione caracteres especiales sin prestar mucha atención a la posibilidad de adivinar su contraseña. Vea Telepathwords para ver un ejemplo de cómo debería ser un medidor de fortaleza de contraseña informado.
Por ejemplo, P @ s5WorD . se considera muy seguro por la mayoría de los medidores de seguridad de contraseñas, sin embargo, una buena herramienta para descifrar contraseñas siempre verificará las variaciones de una palabra del diccionario (especialmente una tan popular como contraseña ), lo que significa que no ha pasado de un espacio de entrada de 26 a 95, pero más bien un espacio de entrada de 26 + unas pocas decenas de permutaciones por palabra en ese espacio de entrada. Esto es simplemente debido a la forma en que los humanos hacen las contraseñas; en realidad no creamos contraseñas aleatorias porque no las recordaríamos.
Una gran cantidad de investigación de contraseñas se enfoca en ayudar a las personas a crear contraseñas más complejas, recordar contraseñas más largas o incluso recordar contraseñas al proporcionar una imagen en la IU de autenticación para que actúe como un recordatorio, que a menudo ignora el hecho de que las personas escogen. y contraseñas similares para hacer frente a la cantidad de credenciales con las que deben lidiar . La gente no quiere seleccionar una contraseña en función de algún secreto / sugerencia que su UI les proporcione, o contraseñas más largas o más complejas; ¡Quieren recordar cada vez menos contraseñas porque han tenido suficiente! Vea este documento de Sasse et al. sobre un estudio de autenticación realizado ... en los empleados de NIST. Además, hay algunos estudios de campo sobre la cantidad de credenciales que las personas administran en línea (por ejemplo, Floriencio y Herley 2007 papel, que es un poco viejo ya; probablemente la gente ya tenga muchas más cuentas).
Una vez que se haya dado cuenta de eso, y el hecho de que las bases de datos de contraseñas (no siempre encriptadas) se roban a diario (por lo tanto, el problema principal no es la seguridad de la contraseña sino el manejo y almacenamiento de las contraseñas), comienza a entender que el problema es la mayoría de los proveedores de servicios no tienen idea de por qué aplican una política y simplemente imitan lo que ven los demás ... perpuetrando políticas y requisitos de contraseña inutilizables y no escalables con el tiempo.
En el pasado, hubo un esfuerzo por generar identidades federadas con servicios como OpenID pero los proveedores de servicios prefirieron mantener el control sobre sus clientes ' identidades por varios motivos, lo que significa más interfaces de autenticación diferentes y más contraseñas para los usuarios.
Existen iniciativas interesantes para reemplazar las contraseñas (consulte Pico ), pero me temo que no debería esperar ninguna mejora en la industria. durante la noche.