Спор о том, какие пароли следует называть безопасными, старше самой дисциплины информационной безопасности. И у него есть практическое применение: производители программного обеспечения используют в настройках своих продуктов требования к сложности паролей пользователей в соответствии с современным представлением о правильном подходе к выбору сложных паролей. Проблема как обычно заключается в том, что практически всегда сложный для взлома пароль сложен для запоминания. И совсем не обязательно, что наоборот .
Производители ПО в своем рвении установить требования к выбору паролей забыли об истоках проблемы. Пароль тем проще взломать, чем он тривиальные, то есть обычные. Иными словами, чем меньше в нем энтропии. Недостаток энтропии разработчики решили компенсировать. Сделать это можно было двумя способами: увеличив требуемую длину паролей, или расширив алфавит, из которого проли формируются. По какой-то неизвестной мне причине было выбрано второе, и теперь нам с вам приходится раз в несколько месяцев ломать голову, каким образом составить пароль таким образом, чтобы в нем были и цифры, и буквы, и спецсимволы, а также прочие закорючки. При этом вводимый пароль из 128 более или менее разнообразных знаков (например, последовательность ничем не связанных между собой значащих слов) будет признан ненадежным. Хотя энтропии в нем в миллионы раз больше, чем в восьмисимвольной абракадабре.
Разработчикам давно пора изменить подход к сложности паролей и ее оценке. Сделать это в современных условиях совсем несложно: сравнивая ввод с постоянно обновлянемой базой данных взломанных паролей (должна же быть какая-то польза от pastebin.com) и оценивая сложность по принципу чуть оригинальнее, чем "а есть ли в этом слове отакая загогулина".
