علیرضای عزیز - سلام

با شما موافقم. ضمن آنکه مواردی که گفتی را درست می دانم نظرم را درباره Password Strength گفتم. یعنی پیشنهاد می کنم سختگیری زیادی روی قواعد حاکم بر وضعیت کلمه رمز نباشد. به عنوان مثال: کاربر به تعویض پسورد ملزم باشد اما دوره تعویض زیاد باشد (مثلا 3 ماه) - نوع ترکیب خیلی ساده نباشد اما خیلی سخت هم نباشد مثلا طول آن حداقل 4 حرف باشد و حداقل از دو گروه حروف کوچک، حروف بزرگ، اعداد، علایم استفاده نماید. - ...

ایده ای که سعی به ارائه آن دارم این است: اولین نقطه ای که یک هکر حرفه ای برای نفوذ به سیستم انتخاب می کند بخش فنی سیستم نیست بلکه بخش انسانی آن است. پس با اعمال قواعد سختگیرانه در نام کاربر و کلمه رمز چندان توفیقی حاصل نمی شود.