Si alguien quiere descifrar las contraseñas de algunos de los usuarios de su sitio, conocer las reglas de las contraseñas puede ayudarlo a reducir su lista de "contraseñas potenciales" al eliminar las contraseñas que el servidor no habría aceptado en primer lugar. Sin embargo , si:
- el atacante también puede registrarse como usuario (como es el caso de muchos sitios web, donde la creación de cuentas es gratuita);
- la "página de registro" ya enumera los requisitos de contraseña;
entonces se puede suponer que el atacante ya tiene esa información. Por lo tanto, no es perjudicial para la seguridad recuperarlos en la página de inicio de sesión.
De todos modos, mantener los requisitos de contraseña en secreto sería difícil, ya que se han mostrado a todos los usuarios. Un secreto que es compartido por más de 3 o 4 personas ya no es un secreto. Por lo tanto, se puede suponer que el atacante ya conoce sus requisitos de contraseña, y mostrarlos en la página de inicio de sesión no le da ninguna ventaja adicional.
Existe el riesgo de que mostrar los requisitos de contraseña en la página de inicio de sesión pueda confundir a algunos usuarios, ya que dichos requisitos generalmente se muestran en las páginas de registro, no en las páginas de inicio de sesión. Tendrá que tener cuidado en su redacción y presentación. Otro posible problema de usabilidad es si cambia los requisitos de contraseña en algún momento, para las nuevas contraseñas: algunas contraseñas antiguas, pero aún válidas, pueden no coincidir con los nuevos requisitos y, nuevamente, los usuarios correspondientes pueden Ser confundido por el desajuste. Sin embargo, estos no son problemas de seguridad (excepto que los usuarios confundidos son, en general, un peligro potencial para la seguridad).