Dado que verifica que una contraseña no sea una contraseña común y no esté presente en una base de datos con contraseñas comprometidas, los requisitos de complejidad de la contraseña (por ejemplo, al menos 1 en minúscula y 1 en mayúscula y 1 carácter especial) reducirán la seguridad al reducir la búsqueda espacio sin ningún beneficio?
Nota: Supongamos que las contraseñas están encriptadas usando bcrypt con un costo de alrededor de 14-16.
Quería publicar mi propio razonamiento en la pregunta ya que lo he pensado un poco y la razón por la que lo publico como pregunta es para verificar mi razonamiento. Por lo que sé, esta respuesta podría ser rechazada :).
Quiero decir, el argumento general, como lo entiendo, es que los requisitos de complejidad de la contraseña requieren que el usuario elija una contraseña de un "espacio" mayor, lo que reduce las posibilidades de elegir una contraseña no segura, ya que muchas contraseñas inseguras son solo alfa en minúsculas (aunque claramente no todos, como Password1! ).
Cuando se marca algo como haveibeenpawned , se trata de una verificación mejorada que elimina la gran mayoría del espacio de "contraseña no segura". En lugar de considerar inseguras todas las contraseñas alfa en minúscula, en su lugar utiliza datos reales para determinar qué contraseñas son o no seguras (se supone que el conjunto de contraseñas comprometidas es extremadamente similar a las contraseñas inseguras). La combinación de ambas reglas de complejidad con una verificación de la base de datos de contraseñas comprometidas elimina principalmente la parte "segura" del espacio alfa en minúsculas, bloqueando las contraseñas seguras que son detectadas por reglas de complejidad de contraseñas como las frases de contraseña (por ejemplo, catwindowlightpencil ).
La figura anterior no abarca todas las contraseñas, en su lugar compara las contraseñas. Las reglas de complejidad de contraseñas están bloqueando con las contraseñas que desea bloquear. El conjunto de contraseñas no seguras es el que desea bloquear, el conjunto de contraseñas comprometidas es un subconjunto que puede bloquear, el conjunto alfa en minúsculas es el que bloquea con las reglas de complejidad de contraseñas.
Nota: Obviamente, se pueden 'crear' nuevas contraseñas 'tontas'. Por ejemplo, un nuevo ídolo pop podría volverse popular durante la semana pasada o Microsoft podría comprar Github, pero aún no aparecer en una base de datos de contraseña comprometida. Del mismo modo, alguien podría usar un nombre de producto como contraseña de un producto que aún no se haya comprometido.
¿Reducirá el espacio de búsqueda?
Sí , pero solo una fracción muy pequeña será eliminada: supongamos que consideramos k caracteres, de los cuales 26 son minúscula. Consideremos una contraseña de caracteres n . La fracción del espacio de búsqueda que se pasa por alto rechazando las contraseñas en minúsculas sería (26 / k) ^ n.
Para n = 8 (que en la mayoría de los casos es la longitud mínima) y k = 128 (que es el número de caracteres ASCII *), esto da como resultado una fracción de 2.9 * 10 ^ -6 del espacio de búsqueda.
¿Reducirá la seguridad?
No , no lo hará, porque el espacio de búsqueda está prácticamente inalterado. La complejidad de su contraseña sigue siendo O (k ^ n).
* admitido, no todos son adecuados para escribir una contraseña, pero la mayoría de ellos son
Lea otras preguntas en las etiquetas passwords password-policy