Perché, davvero?
Consentitemi di ignorare per un momento la domanda e di rispondere alla vostra domanda implicita: dovremmo?
Ovvero, dovremmo continuare a chiedere agli utenti di creare la propria password, che spesso è debole, invece di basta che il sistema generi una password complessa per loro?
Bene, sono dell'opinione controversa che qui ci sia un compromesso piuttosto forte: avere una password sicura e SAPERE quanto sia sicura (come fai notare), da un lato, e dall'altro lato c'è la sensazione di sicurezza dell'utente. "Usabilità", in una certa misura.
Penso che ci siano diversi aspetti in questa sensazione di sicurezza: alcuni utenti vorrebbero assicurarsi di avere una password complessa (ad esempio tramite un gestore di password o diceware); alcuni utenti vorrebbero selezionare una password facile; e alcuni utenti desiderano utilizzare la stessa password ovunque. E sì, molti utenti semplicemente si aspettano di essere in grado di impostare la propria password, per qualsiasi motivo, quindi oltre a qualsiasi causa specifica, dovrai comunque combattere la battaglia di rieducazione, che è tutt'altro che facile .
Inoltre, non dimenticare che una volta ottenuta una buona password complessa per l'utente, l'utente (spesso non tecnico) deve ancora capire cosa farne - anche le passphrase diventano difficili da ricordare dopo la prima dozzina o giù di lì, o se lo usi solo ogni 6 mesi ... L'utente non tecnico lo salverebbe molto probabilmente in un documento Word sul desktop o nella posta elettronica. (E ovviamente scrivi la password del sistema operativo su una nota adesiva allegata allo schermo).
Ora, non sminuire queste ragioni o queste cause per l'utilizzo di password deboli: noi del settore della sicurezza abbiamo creato questo scenario per le persone semplici nel corso degli anni. Ma in realtà si tratta di: quanto deve essere sicuro il tuo sito. Qual è il rischio che l'utente può decidere di assumersi e quanto di questo è il rischio del sistema che dovrebbe essere tolto dalle mani dell'utente.
Quindi, in conclusione: Sì, penso che la maggior parte dei siti con requisiti di sicurezza non trascurabili dovrebbe offrire la generazione di password / passphrase. A seconda del profilo e dell'architettura, potresti offrire 3 opzioni quando registri un account (o cambi password, ecc ...) - assicurati solo di visualizzare la password solo dopo aver avvertito l'utente di non navigare a spalla:
- Genera passphrase - con un numero di parole configurato o flessibile (predefinito)
- Genera password pazzesche con un'entropia ridicola, ad es. per il salvataggio nel gestore delle password
- Creane uno tuo.
In effetti questo è quello che raccomando da tempo (varianti dipendenti dai requisiti specifici ...).
Tornando alla tua domanda originale, perché quanto sopra non è stato fatto?
Immagino una combinazione di sistemi legacy e cattive abitudini; cattiva educazione (la stragrande maggioranza dei siti ha ancora politiche e raccomandazioni sulle password BAD) e forse solo una mancanza di consapevolezza di una soluzione migliore.
Sì, questo è perché le password fanno schifo. :-)