En primer lugar me dejó. Dicen que los detalles como la longitud mínima, la distinción entre mayúsculas y minúsculas y los caracteres especiales requeridos deben depender de quién tiene acceso y qué contraseña les permite hacer. Si se trata de un código para lanzar un misil nuclear, debe ser más estricto que una contraseña para iniciar sesión para jugar su edición pagada en línea de Angry Birds.
Pero tengo un SPE Carne de vacuno CIFIC con sensibilidad a mayúsculas
Para empezar, los usuarios lo odian. El cerebro humano piensa "A = a". Por supuesto, los cerebros de los desarrolladores no suelen ser típicos. ;-) Pero a los desarrolladores también les molesta la sensibilidad de mayúsculas y minúsculas.
En segundo lugar, la tecla Bloq Mayús es demasiado fácil de golpear por error. Está entre las teclas Tab y Shift, pero DEBERÍA estar arriba de la tecla Esc. Su ubicación se estableció hace mucho tiempo en la época de las máquinas de escribir, que no tenían una fuente alternativa disponible. En aquellos días, era útil tenerlo allí.
Todas las contraseñas tienen riesgo ... Usted está equilibrando el riesgo con la facilidad de uso, y sí, la usabilidad es importante.
MI ARGUMENTO: Sí, la distinción de mayúsculas y minúsculas es más segura para una longitud de contraseña determinada. Pero a menos que alguien me obligue a hacerlo de otra manera, opto por una longitud de contraseña mínima más larga. Incluso si asumimos que solo letras y dígitos están permitidos, cada personaje agregado multiplica el número de contraseñas posibles por 36.
Alguien que es menos perezoso que yo en matemáticas podría decirle la diferencia en el número de combinaciones entre, digamos un mínimo de 8 contraseña sensible a mayúsculas y minúsculas, y una contraseña de 12 caracteres insensible a mayúsculas y minúsculas. Creo que la mayoría de los usuarios preferiría lo último.
Además, no todas las aplicaciones exponen nombres de usuario a otros, por lo que hay dos campos potenciales que el hacker puede tener que encontrar.
También prefiero permitir espacios en las contraseñas siempre que la mayoría de las contraseñas no sean espacios.
En el proyecto que estoy desarrollando ahora, mi pantalla de administración permite al administrador cambiar los requisitos de contraseña, que se aplican a todas las contraseñas futuras. También puede obligar a todos los usuarios a actualizar las contraseñas (a los nuevos requisitos) en cualquier momento después del próximo inicio de sesión. Hago esto porque siento que mis cosas no necesitan distinción entre mayúsculas y minúsculas, pero el administrador (que probablemente me pagó por el software) puede estar en desacuerdo, así que dejo que esa persona decida.
El PIN de mi tarjeta bancaria tiene solo cuatro dígitos. Como solo son números, no distingue entre mayúsculas y minúsculas. Y diablos, ¡es mi DINERO! Si no considera nada más, esto suena bastante inseguro, de no ser por el hecho de que el hacker tiene que robar mi tarjeta para obtener mi dinero. (Y que le tomen una foto.)
Otro problema: los desarrolladores que entran en StackOverflow y regurgitan las reglas rápidas que leen en algún artículo. "Nunca codificas nada". (Como si eso fuera posible). "Todas las consultas deben estar parametrizadas" (no si el usuario no contribuye a la consulta). Etc.
Disculpe la queja. ;-) Prometo que respeto el desacuerdo.
I * odio * longitud máxima de la contraseña. Grrrr! – Dana