Какой длины достаточно? Минимальные пароли на самых популярных сайтах

В прошлом году я писал руководство по аутентификации в современную эпоху и говорил о многих вышеупомянутых требованиях. В частности, я обращал внимание на то, как современные представления противоречат многим традиционным представлениям о правильной работе с паролями. В той статье обильно цитируются руководства от британского центра по кибербезопасности NCSC и американского NIST — и в ней развенчиваются многие из старых мифов. Избавьтесь от правил сложности, разрешите длинные пароли, не запрещайте копировать из буфера обмена и откажитесь от обязательной смены паролей. Однако там нет ничего относительно минимальной длины, и это заставило меня задуматься — какое число будет правильным?

Когда я проводил занятия «Взломай сначала себя», то одним из первых задавал вопрос: «Каково правильное значение минимальной длины пароля?» Я снова думал об этом на этих выходных, во время работы над второй версии сайта Pwned Passwords, потому что подумал, что можно использовать ограничение на минимальную длину, чтобы уменьшить размер набора данных. Вместо того, чтобы проецировать своё мнение по данному вопросу, я решил пойти и проверить, как обстоят дела на крупнейших сайтах. Вот топ-15 с резюме и некоторыми дополнительными комментариями: