He estado usando zxcvbn para hacer cumplir contraseñas seguras para un servicio donde los robos podrían causar problemas considerables. Sin embargo, el servicio solo es viable si muchos usuarios se registran. Descubrimos que los usuarios tienden a alejarse frustrados cuando zxcvbn rechaza una contraseña tras otra (en función de las métricas del sitio web y los eventos en persona). Comenzamos con la fuerza de zxcvbn en 4 y desde entonces la hemos reducido a 2, pero el problema persiste.
Se ha vuelto dolorosamente claro que su promedio de Jane está acostumbrado a crear contraseñas malas y no tiene interés en volver a capacitarse. No tenemos el presupuesto para asumir la responsabilidad de ese tipo de cambio social, y los poderes que están presionando para volver a algo como "8 caracteres, al menos un número, etc." Es comprensible desde la perspectiva del negocio: pasamos más tiempo entrenando a los usuarios a través del proceso de creación de contraseñas que hablando de nuestro servicio.
Entonces, ¿cuál es la mejor manera de aplicar una política de contraseña que no nos deje con una gran cantidad de cuentas de usuario fácilmente pirateadas y, al mismo tiempo, no alienar a una base de usuarios no técnicos?
Editar: los inicios de sesión se producen a través de la interfaz web, así como en otros, como IMAP, lo que hace que cualquier otro inicio que no sea el inicio de sesión con contraseña sea poco probable.