Non posso dire dove ma il CEO di una azienda medica (giuro, non un manager o un product owner: il CEO) che trattava dati estremamente sensibili mi minacciò di licenziamento se non avessi reso accettabile scegliere password del tipo italia1234. Vista la minaccia, girai la richiesta al responsabile della sicurezza chiedendogli se era d’accordo, giusto perché così sarebbe andato in galera lui, il quale mi rispose di rendere i criteri ancora più complessi di quelli che avevo “impostato” io… immagino non ci siano tante persone come me che cercano di impedire tali scempi
No, anche perché quello che hai fatto è una porcheria. Criteri di complessità delle password al massimo devi avere lunghezza e entropia. Appena cominci a dire numero simbolo maiuscola minuscola ti arriva quello col password manager che incolla una password senza simboli di 40 caratteri e gli dici no, e lui giustamente maledice te, i tuoi antenati e i tuoi discendenti.
A parte che non ho detto di aver fatto così, usavamo una libreria che valutava la complessità della password basandosi su diversi criteri. Infatti una password di sole lettere, se abbastanza lunga, viene accettata.
Non solo: invece di resettare tutte le password impattate hanno detto “tranquillo, la tua password sarà valida ancora un mese e poi la resettiamo se non la cambi”
29
u/xb8xb8xb8 13d ago
e se fai il reset password ti mandano la password in chiaro, 10 char alfanumericominuscole e numeri only