С
Чтобы все видели, что там написано, все операционистки
1. Двухфакторка не везде.
2. Двухфакторка бывает разного качества. Например в Телеграме до сих пор есть возможность получить код по SMS и что самое отстойное - нет возможности ее отключить и взамен использовать что-нибудь типа Authy. Это несмотря на то что за эти годы в Телеграме неоднократно ломали аккаунты используя именно перехватывание SMS.
3. Я не знаю какие косяки сделали разработчики каждого из сотен используемых мной сервисов, какие алгоритмы используют, и т.д. Даже если они используют библиотеку, то может поставили на самый легкий/быстрый режим работы. В таких случаях размер ключа может иметь значение, особенно если это атака на всех и злоумышленникам достаточно взломать не всех, а только самых слабых.
4. Не надо забывать про прогресс с вычислительными технологиями (и количественные и качественные) и технологиями в здравоохранении. Я хочу такие пароли, которые бы Мировая Закулиса не смогла взломать и через 200 лет. Т.к. пароли у меня храняться в хранилище паролей, то мне одинаково легко хранить пароль на 12 и на 60 знаков.
5. Базовый размер генерируемых паролей у меня достаточно высокий. Поэтому уменьшать его - это лишние движения. Тем более что обычно о мизерном верхнем ограничении узнаешь только когда регистрация не удалась - приходится заполнять всё заново. Это как минимум бесит.
6. А так, я натыкался на совершенно ничем не объяснимые органичения. Типа "Минимум 8, максимум 18 знаков". К таким разработчикам мне хочется применить физическое воздействие (как минимум растормошить; хотя и понимаю, что с детьми это делать опасно 😉 ).
7. Знаешь какой самый идиотский ограничитель я видел в реальной жизни, в крайне успешном онлайн-магазине?.. 8 знаков! Нет, не минимум! У них реально стояло ограничение "Пароль должен быть не больше 8 знаков!" (я сейчас перепроверил и в цифре не ошибаюсь) Когда я это заметил, то хотел взять в руки автомат! Хорошо что у меня его нет. В принципе что 8, что 30 - это одной поляны ягоды. И там и там ничем не объяснимые органичения, которые ухудшают безопасность.
8. Само наличие низкого ограничения - это уже фактор, который принимается злоумышленниками во внимание. Одно дело "если поставим перебирать, то за две недели точно найдем пароль!" и совсем другое "если поставим перебирать, то скорее всего две недели хватит; но если юзер заморочился и взял пароль подлиннее, то тогда никакого времени может не хватить!". Это как с разрешением специальных символов в паролях - сама возможность их использовать повышает безопасность (хотя бы в качестве уменьшения уверенности злоумышленников в получении результата) даже если их (практически) никто в паролях не использует.
9. Если же говорить о реальном мире, то в нем существуют разные способы и алгоритмы запоминания паролей (не пользуясь менеджером паролей). Один из способов: иметь какую-то часть хорошего пароля, а потом к нему приставлять часть идентифицирующую конкретный сайт. В этом случае знаков может не хватить. А это уже крайне плохо - теперь у человека вместо не самой лучшей, но легкой и простой системы запоминания паролей, каша в голове. Теперь ему надо отдельно помнить на каких сайтах его обычная система не работает, делать отдельный пароль для таких сайтов с глупыми ограничениями, фрустрироваться, придумывать легкий/одинаковый пароль или вообще записывать его на бумажке (т.е. из-за излишних ограничений разработчика, теперь человек вернулся в самое начало по уровню паролебезопасности; огромное спасибо разработчикам от злоумышленников!)
10. Этот комикс xkcd крайне популярен. Уверен, что он многих убедил использовать такую или похожую на эту схему. Несмотря на то что в чистом виде это плохая идея (полностью игнорирует как пароли ломаются в реальности), то всё равно лучше чтобы человек имел пароль состоящий из 6-8 слов, а не 3-4. И лучше так, чем обычный пароль родительский пароль "Moscow1960".
