Estou pensando em limitar os direitos dos usuários que escolhem senhas inseguras (insegurança de uma senha sendo determinada pelo tamanho, quantos tipos de caracteres (maiúsculas / minúsculas, números, símbolos etc.) são usados e se podem ser localizado em uma tabela arco-íris) para limitar quanto dano sua conta pode causar se comprometida.
Ainda não tenho um aplicativo para essa idéia, mas digo que estou escrevendo um fórum ou algo assim: os usuários que usam 1234 como senha podem precisar preencher um captcha antes de postar ou estar sujeitos a rigorosas medidas anti-spam, como como tempos limite ou filtros bayesianos que rejeitam seu conteúdo. Se este fórum for muito hierárquico, permitindo a "promoção" de moderadores ou qualquer outra forma, isso os impediria de obter privilégios ou dizer-lhes que têm privilégios, mas não permitiria exercitá-los sem alterar a segurança. senha.
Obviamente, essa não poderia ser a única medida de segurança, mas poderia ir bem ao lado de boas práticas de segurança.
O que você acha? Isso é exagerar, desviar o foco das práticas de segurança mais importantes ou é uma boa maneira de limitar os riscos e incentivar os usuários a usar senhas mais seguras (e convencer as pessoas de que você está usando boas práticas de segurança)?