Bugzilla.mozilla.org的“新”密码要求对这类帐户/服务有意义吗？

Question

我只是尝试向bugzilla.mozilla.org (BMO)报告的一个bug中添加一些细节，但是由于我的密码被取消了，所以没有被输入。现在他们想让我创建一个符合某些要求的新密码，如下所示

https://wiki.mozilla.org/BMO/UserGuide/Passwords

must be at least 12 characters in length
must not contain parts of your email address, or your real name
must be complex, which means:
    must be a passphrase of at least four words
    OR
    must contain a mixture of letters and symbols, containing characters from 3 out of the following 4 character classes:
    lowercase letters, uppercase letters, numbers, and other symbols

我决定不更新我的密码，因此，停止使用他们的服务/向BMO提供bug报告，因为他们需要的密码不容易记住，我认为这对bug报告服务来说是不必要的复杂。我目前的密码是9个字符，包含大小写字母、数字以及特殊字符。这对我来说已经够复杂的了。

所以我的问题是:像BMO这样复杂的密码有什么客观原因吗？如果有人破解了外部用户的密码，最糟糕的事情是什么？

最后，关于这个问题的一些个人评论:就我个人而言，我并不认为云中有一个密码管理器(这是BMO推荐的)。这种单点故障，IMHO是有问题的。即使中情局/国安局或类似机构没有专门针对我，他们也很有可能把目标锁定在使用同一服务的其他人身上，如果他们设法打破它，我所有的秘密都会给他们带来免费的好处。

在本地存储敏感数据，并拥有良好的备份解决方案，似乎要安全得多，以防嫉妒的合作伙伴或试图实施信用卡欺诈的人偶尔进行黑客攻击(如果某个国家赞助的机构专门针对我，我无论如何都被骗了，要么使用秘密传票，要么在技术上规避我的保护，要么干脆用一根足够大的棍子威胁我)。

Answer 1

所以我的问题是:像BMO这样复杂的密码有什么客观原因吗？如果有人破解了外部用户的密码，最糟糕的事情是什么？

请记住，bug跟踪器可能包含与软件中的0天相关的信息或其他严重的安全漏洞。并不是所有的用户都可以访问这些信息，但也有一些用户这样做。

如果这些信息为公众所知，可能会影响到大量用户。

对所有用户强制执行密码策略更容易，也更好，而不依赖于组。许多密码哈希方案将隐藏密码的复杂性，这意味着它只有在实际更改密码时才能验证。

因为他们需要的密码不容易记住

我准确地记住了三个密码:我的计算机帐户密码，我的远程访问密码和我的密码管理器密码。其余的存储在密码管理器(Lastpass和KeePass)中。这是您所指向的用户指南建议的。这使得为每个服务使用唯一的密码变得很容易，而且您不需要记住任何东西。

此外，他们确实允许密码，这是更容易记住。如果你愿意的话，四个随机单词当然是可以记住的。

最后，关于这个问题的一些个人评论:就我个人而言，我并不认为云中有一个密码管理器(这是BMO推荐的)。

他们推荐一个密码管理器。他们没有提到具体的，也没有提到基于云的。你可能应该再读一遍你所链接的那一页，因为你推断出了一些没有说明的内容。

此外，应该注意的是，Lastpass使用您的密码作为数据的加密密钥，因此对其他用户的攻击可能不会产生您的密码。