Стэнфордский университет недавно обновил требования к паролям для доступа студентов и преподавателей к внутренним ресурсам своей сети. Теперь жёсткие требования использования букв в разных регистрах, цифр и спецсимволов действуют только для коротких паролей, и чем длиннее пароль, тем эти требования мягче. При длине пароля от 8 до 11 символов их использование обязательно, от 12 до 15 — можно обойтись только буквами в разных регистрах и цифрами, от 16 до 19 — можно отказаться от цифр, а для паролей от 20 символов нет вообще никаких ограничений.
Идея здравая и полезная. В принципе, ничего удивительного, но может быть, кто-то уже натыкался, а если нет, то буду признателен, если прокомментируете мои мысли на этот счет. Они ниже.
Стэнфорд требует для пароля 8-11 символов наличие регистров, цифры, спецсимвола. Пароль придумывают люди, поэтому полностью равномерного распределения не будет. Есть "любимчики" ведь.
Поясню мысль на примере из головы. Если в пароле требуется как минимум одна большая буква и одна цифра, то:
1. Скорее всего эта большая буква будет либо первой, либо последней
2. Чаще всего будет использоваться цифра "1". Как-то "Anypass1"
Это я к тому, что насколько реально повысится надёжность? Думаю, что нужно дополнительный "костыль" к идее Стэнфорда сделать: сгенерировать словари по определённым правилам. Чтобы исключить варианты Qwerty123$. Хотя, может быть, для стэндфордской библиотеки такой надежности и хватит, но что делать, например, с паролями от корпоративной CRM-системы?..
В общем, правила хотя и интересны, но, на мой взгляд, нуждаются в доработке. Давайте сообща придумаем, как их доработать.