Richtlinien für statische Kennwörter werden aus zwei Hauptgründen ausgewählt: Benutzerfreundlichkeit und eine Reihe von Untersuchungen, die eine akzeptable Wirksamkeit belegen. Der größte Teil meiner Antwort stammt aus dem hervorragenden Forschungsbericht über ein fortschrittliches Kennwortstärkemessgerät, Telepathwords.
Um zunächst einige der Untersuchungen zusammenzufassen, die zur Sicherung der aktuellen Kennwortrichtlinien verwendet wurden:
Die Regeln für die Kennwortzusammensetzung stammen mindestens aus dem Jahr 1979, als Morris und Thompson über die Vorhersagbarkeit der von Benutzern ihrer Unix-Systeme verwendeten Kennwörter berichteten. Sie schlugen vor, dass Passwörter, die länger als vier Zeichen sind, oder rein alphabetische Passwörter, die länger als fünf Zeichen sind, „in der Tat sehr sicher“ sind. [19] [Allerdings] analysierte Bonneau 2012, 33 Jahre später, fast 70 Millionen Passwörter, um die Auswirkung einer Mindestanforderung mit sechs Zeichen im Vergleich zu keiner Anforderung [2]. Er stellte fest, dass Unsicherheit fast keinen Unterschied machte ...
Dies schließt die Arbeit von Komanduri et al. [13] und Kelleyet al. [12], der ähnliche Studiendesigns verwendete, um vergleichende Analysen der Regeln für die Kennwortzusammensetzung durchzuführen. Diese früheren Studien ergaben, dass steigende Längenanforderungen in Passwörtern im Allgemeinen zu besser verwendbaren Passwörtern führten, die durch ihren Schätzalgorithmus weniger wahrscheinlich als schwach identifiziert wurden [ 13 12]. Zuletzt untersuchten Shay et al. Richtlinien zur Kennwortzusammensetzung, die längere Kennwörter erfordern, und stellten fest, dass die beste Leistung aus dem Mischen eines Minimums von 12 Zeichen mit einer Anforderung von drei Zeichensätzen [25] a resultierte >.
Die Benutzerfreundlichkeit ist ein wichtiger Grund, warum komplexere Kriterien wie die Kennwortentropie nicht häufiger verwendet werden:
In einer Studie zur Verteilung von Kennwörtern Florencio und Herley stellten fest, dass Usability-Anforderungen unter den 75 untersuchten Websites [8] eine zumindest größere Rolle als Sicherheit spielen. ...
Ur et al. untersuchte auch die Auswirkung von Kennwortstärkemessgeräten auf
Passworterstellung. Sie stellten fest, dass schwächere Passwörter auftauchten, wenn Benutzer frustriert wurden und das Vertrauen in das Messgerät verloren. [28]...
Während [Dropbox's] zxcvbn eine dringend benötigte Verbesserung der Glaubwürdigkeit seiner Festigkeitsschätzungen im Vergleich zu Ansätzen bietet, die sich ausschließlich auf Kompositionsregeln stützen, dies Es ist unwahrscheinlich, dass Benutzer die Glaubwürdigkeit beobachten. Tatsächlich kann die wahrgenommene Glaubwürdigkeit unter Benutzern leiden, denen mitgeteilt wurde, dass das Hinzufügen von Zeichen die Kennwortstärke erhöht. Wenn bestimmte Zeichen hinzugefügt werden, sinken die Punktzahlen. Wenn Sie beispielsweise iatemylunch eingeben, verringert sich die Stärkeschätzung von der zweitbesten Bewertung (3) zur schlechtesten Bewertung (1), wenn das endgültige Zeichen hinzugefügt wird. Selbst wenn Benutzer die Stärkenschätzungen von zxcvbn für unglaublich halten, ist es unwahrscheinlich, dass sie den zugrunde liegenden Mechanismus zur Schätzung der Entropie verstehen und sich daher nicht sicher sind, wie sie ihre Punktzahlen verbessern können. [30]
Der Vollständigkeit halber müssen wir schließlich erkennen, dass die Definition der Entropie in diesem Beispiel sehr schwierig (aber keineswegs unmöglich) ist. Es gibt viele verschiedene Annahmen, die wir über die Raffinesse des Schätzalgorithmus oder Wörterbuchs eines Passwort-Crackers treffen können, und diese führen alle zu unterschiedlichen Antworten auf die Entropie von Passwörtern wie "Tr0ub4dor&3" oder "korrekte Heftklammer für Pferdebatterien". Die ausgefeiltesten Kennwortentropiemaßnahmen basieren auf Wörterbüchern mit Millionen von Kennwörtern und fortgeschrittenen Studien zu Kennwortmustern. Dieser Grad an Komplexität ist für viele Administratoren (und Hacker) schwer zu erreichen.