Zasady dotyczące haseł statycznych są wybierane z dwóch głównych powodów: użyteczności i liczby badań wykazujących akceptowalną skuteczność. Większość mojej odpowiedzi pochodzi z doskonałego artykułu badawczego na temat zaawansowanego miernika siły hasła, Telepathwords.
Po pierwsze, podsumowując niektóre badania wykorzystane do tworzenia kopii zapasowych obecnych zasad dotyczących haseł:
Zasady tworzenia haseł sięgają co najmniej 1979 r., kiedy Morris i Thompson donieśli o przewidywalności haseł używanych przez użytkowników ich systemów uniksowych; zaproponowali, że hasła dłuższe niż czteroznakowe lub czysto alfabetyczne hasła dłuższe niż pięcioznakowe będą „rzeczywiście bardzo bezpieczne” [19] [Jednak] Bonneau przeanalizował prawie 70 milionów haseł w 2012 roku, 33 lata później, aby zmierzyć wpływ minimalnego wymogu sześciu znaków w porównaniu z brakiem wymogu [2]. Odkrył, że brak poczucia bezpieczeństwa prawie nie robi różnicy ...
Obejmuje to prace Komanduri i in. [13] i Kelleyet al. [12], który wykorzystał podobne projekty badań do przeprowadzenia analizy porównawczej reguł tworzenia haseł. Te wcześniejsze badania wykazały, że zwiększenie wymagań dotyczących długości haseł generalnie prowadziło do haseł, które były bardziej przydatne, a także rzadziej były identyfikowane jako słabe przez algorytm zgadywania [ 13 12]. Ostatnio Shay i wsp. Badali zasady tworzenia haseł wymagające dłuższych haseł. Znalezienie najlepszej wydajności wynikało z połączenia minimum 12 znaków z wymogiem trzech zestawów znaków [25].
Użyteczność jest ogromnym powodem, dla którego bardziej złożone kryteria, takie jak entropia hasła, nie są używane częściej:
W badaniu dystrybucji haseł Policy, Florencio i Herley odkryli, że imperatywy użyteczności wydają się odgrywać co najmniej tak dużą rolę jak bezpieczeństwo wśród 75 zbadanych stron internetowych [8]. ...
Ur i in. zbadał również wpływ mierników siły hasła na
tworzenie hasła. Okazało się, że gdy użytkownicy byli sfrustrowani i tracili zaufanie do miernika, pojawiały się słabsze hasła. [28]...
Chociaż zxcvbn firmy [Dropbox] zapewnia bardzo potrzebną poprawę wiarygodności szacunków siły w porównaniu z podejściami opierającymi się wyłącznie na regułach składu, to jest mało prawdopodobne, aby użytkownicy zauważyli wiarygodność. W rzeczywistości postrzegana wiarygodność może ucierpieć, jeśli użytkownicy, którym powiedziano, że dodanie znaków zwiększa siłę hasła, zobaczą spadek wyników po dodaniu pewnych znaków. Na przykład, podczas wpisywania iatemylunch, oszacowanie siły zmniejsza się od drugiego najlepszego wyniku (3) do najgorszego wyniku (1) po dodaniu końcowego znaku. Nawet jeśli użytkownicy uznają szacunki siły zxcvbn za wiarygodne, jest mało prawdopodobne, aby zrozumieli podstawowy mechanizm szacowania centropii, a tym samym nie byli pewni, jak poprawić swoje wyniki. [30]
Wreszcie, ze względu na kompletność, musimy zdać sobie sprawę, że zdefiniowanie entropii w tym przykładzie jest bardzo trudne (ale wcale nie niemożliwe). Istnieje wiele różnych założeń dotyczących wyrafinowania algorytmu zgadywania lub słownika łamacza haseł, a wszystkie one prowadzą do różnych odpowiedzi na temat entropii haseł, takich jak „Tr0ub4dor&3” lub „poprawna podstawa baterii dla koni”. Najbardziej wyrafinowane miary entropii haseł opierają się na słownikach milionów haseł i zaawansowanych badaniach wzorców haseł, a ten poziom zaawansowania jest trudny do osiągnięcia dla wielu administratorów (i hakerów).