#мнение #ит_секурити
Любые ограничения «для усложнения» пароля упрощают его.
Так как сужают поле для паролей.
Понятно, что информацией об ограничениях владеет не только честный юзер, но и взломщик.
Взломщик не будет перебирать обычные простые пароли, зная, что в базе они оказаться не могут.
Типичный сценарий.
Система: придумайте пароль
Юзер: password
Система: нужна хотя бы одна заглавная буква
Юзер: Password
Система: нужна хотя бы одна цифра
Юзер: Password1
Система: нужен хотя бы один символ
Юзер: Password1!
Взломщик: так, password, Password, password1 пробовать нет смысла, начнём перебор сразу с Password1!
Система: ...

А чё делать? Не знаю, наверное ничего кардинально не сделаешь — это системная особенность человека, придумывать простой пароль.
Можно, например, скрыто считать сложность, и требовать смены через период времени пропорционально сложности.
Ну написать, что-то в духе: «ваш пароль почти подобрали, лучше поменяйте его». Большинству юзеров это надоест и вероятность наличия простых паролей в базе сильно упадёт.