Cuando un sitio implementa algo, siempre sirve a sus intereses; sin embargo, esto a veces también coincide con los intereses del usuario, por ejemplo, como en "proteger a los usuarios contra ellos mismos", que es el caso aquí.
El punto de las restricciones es (intenta) hacer que la contraseña sea más difícil para que un atacante la adivine. En verdad, evitar que algunos usuarios utilicen algunos valores de contraseña específicos reduce matemáticamente el número de contraseñas posibles; pero, prácticamente , se trata más de prohibir las contraseñas fáciles que los usuarios casi siempre elegirían si tuvieran la opción. El número total de contraseñas posibles es ridículamente grande. Si consideramos que una contraseña puede incluir letras (minúsculas y mayúsculas), dígitos y, digamos, algunos signos de puntuación que son accesibles desde un teclado común; y si permitimos que las contraseñas tengan una longitud de hasta 30 caracteres, entonces el número de contraseñas posibles es igual a 15793577397490850221519453775915395849353863095795005451 (incluida la "contraseña vacía" de longitud 0; de lo contrario, reste 1 a esa cantidad). Las posibles contraseñas no son un recurso escaso, y hay pocos problemas para eliminar algunos miles de millones de ese recuento.
El recurso de miedo es la imaginación y la paciencia del usuario. Dada la posibilidad, la mayoría de los usuarios usarán contraseñas cortas solo con letras minúsculas, porque eso es lo más fácil de recordar y escribir. Y elegirán palabras "significativas", por ejemplo, "castillo" y no "bsigrz". El atacante sabe que las contraseñas fáciles son las primeras que intentará y no hay muchas de ellas, por lo que el atacante tendrá éxito.
Las "reglas de contraseña" son un intento de forzar a los usuarios a alejarse de las contraseñas fáciles. Si los obliga a incluir un dígito y una letra mayúscula, lo harán, pero con un dígito que el atacante no puede predecir, y con el carácter mayúsculo aplicado a una letra aleatoria. (Al menos en teoría, en la práctica, los usuarios pondrán la letra mayúscula en la primera letra, y el dígito se agregará al final, y será un '1'). La ferviente esperanza es que esto aumentará la cantidad de contraseñas posibles que el usuario elegirá de manera efectiva y, por lo tanto, dificultará las cosas para el atacante.
Las reglas de contraseña pueden ser contraproducentes, a veces espectacularmente; los usuarios olvidarán su contraseña y molestarán al servicio de asistencia; los usuarios escribirán la contraseña en una nota adhesiva astutamente oculta debajo del teclado. (En lo que respecta a backfiring, escribir una contraseña compleja en un papel almacenado en la billetera del usuario no es tan malo: al menos, a los usuarios les importa el paradero de su billetera.) Un ejemplo muy común backfiring es, exactamente, tener una contraseña "habitual" que el usuario utiliza con muchos sitios. Esto significa que una infracción de seguridad en un sitio se extiende inmediatamente a todos los demás sitios en los que el usuario también tiene una cuenta. Eso es malo.