Vill bara kasta in en tanke, en sån här artikel är förmodligen inte riktad mot oss som kan IT lite mer än genomsnittliga användaren.
Jag jobbar som head of cyber security på ett större bolag inom industri och har nyligen ändrat lösenordspolicy från 8 -> 12 karaktär (plus vi har lagt till bad password check i Azure AD, Rekommenderas!).
Det jag såg innan när jag plocka ut lösenords-databasen (krypterad självklart) och försökte knäcka den med ett 3080, var att en stor del av alla lösenord som knäcktes, var inte alltid korta. Utan det var, som det nämns i artikeln, lätta ord i kombination med nån siffra och många gånger ett utropstecken före eller efter (lätt att ställa in i t.ex. hashcat så man gissar på sådana vanliga tillägg)
Exempelvis:
Hammarby1997!
Yamaha12
!Jonathan19990101
Ett exempel jag också sett på tidigare bolag, som är långt och fint, men faller på principen om lättgissat är:
WorldOfWarcraft1337!
Jag såg någon som nämnde att det är onödigt att gå upp till 12 tecken, i viss mån håller jag med, men det är också en liten tvingade kraft i att få folk att börja använda lösenmeningar istället för lösenord. Många bäckar små!
Något som säkerhetsbranschen generellt också rekommenderar, är att sluta tvinga användarna byta lösenord vart tredje månad. Det slutar bara med att dom har en siffra i slutet på lösenordet som dom plussar på vart tredje månad. Vi kör på vart 12e månad.
Annars är jag förespråkare för Windows hello, bad password check i Azure AD och så för inloggning en Windows dator, annars så är det självklart MFA som gäller överallt, samt Yubikey!