Las reglas para creación de contraseñas son basura
Personalmente, hace algún tiempo que dejé de dar consejos sobre la creación de contraseñas. Creo que la solución para cualquier usuario es utilizar un gestor de contraseñas y eso es lo que recomiendo cuando alguien me pregunta. O cuando med dejan decirlo sin que me pregunten. También digo, si alguien se empeña en crearlas y recordarlas que lo mejor es que sean largas (desde luego, más de 10 o 12 caracteres, en este momento).
Las normas de creación de contraseñas pueden tener sentido si se hacen bien, pero es bastante fácil que hagamos recomendaciones malas (he visto algunas horribles y otras que, en lugar de ayudarnos a mejorar nos perjudican) y que, aunque sean buenas, se sigan mal.
De ello hablaba Jeff Atwood en Password Rules Are Bullshit
Desde el otro lado, los consejos que da son:
- Las reglas son una basura
- Fuerza una longitud mínima (en Unicode)
- Verifica que no se utilizan contraseñas comunes
- Verifica que tienen una mínima diversidad (entropía)
- Verifica casos especiales (usuario, correo, … No deberían ser contraseñas)
Interesante.