Четыре главных мифа о паролях.

Миф № 1

Для надежности достаточно варьировать регистр букв и добавлять числа и специальные символы

Правда: уровень безопасности, обеспечиваемый сложными паролями, ограничен. Да, letmein – неудачный пароль, но Password1, Abc123 и Passw0rd – не лучше, несмотря на смешанный регистр и цифры. Пользоваться паролями на основе простого слова в любом случае неудачная идея: взломщики паролей умеют перебирать разные варианты написания слов и словосочетаний, вроде vuln3rabl3 и trustno1. Справедливости ради отметим, что смешанный регистр, числа и спецсимволы значительно усиливают пароль по сравнению с написанным целиком в нижнем регистре.

Но, если используемая в качестве пароля строка не представляет собой действительно случайную последовательность символов, не помогут ни смешанный регистр, ни числа со спецсимволами. То есть, если нажимать клавиши, расположенные рядом, или использовать другие простые последовательности, эффективность метода сводится на нет.
Кому интересно может поискать, при нынешних реальях что с паролями и как их ломают. Просто загуглить МИФ ПАРОЛЬ.

Миф № 4

Обязательная периодическая смена паролей повышает безопасность

Правда: так только повышается вероятность того, что пользователи будут выбирать слабые пароли. Требование регулярной смены паролей было одним из главных элементов корпоративных политик безопасности до недавнего времени. Обязательная смена паролей имеет смысл, если существует опасность утечки паролей. Когда у организации есть подтверждение того, что пароли скомпрометированы, то принуждать к их смене нужно. Но менять пароли только потому, что прошло определенное число дней? Смысла в этом нет.

Политики составления паролей нужно делать менее сложными, поскольку иначе пользователям труднее выполнять свои рабочие обязанности и повышаются расходы на обеспечение выполнения правил. Хотя смена паролей, казалось бы, хорошая идея, на самом деле пользователям так труднее запоминать очередной, и они начинают применять одни и те же пароли или легко угадываемые закономерности.

Почему большинство людей не используют двухфакторную аутентификацию? (по аналогии от гугля)

Простите вырвано из контекста, кому интересно загуглят.

"Прошло почти семь лет с того момента, как Google представила двухфакторную аутентификацию (2FA), но до сих пор практически никто не использует её.
На январской конференции по информационной безопасности Usenix's Enigma 2018 с презентацией выступил инженер-программист Google Гжегож Милка (Grzegorz Milka). Он опубликовал печальную статистику того, как обычные пользователи относятся к своей безопасности: менее чем на 10% активных аккаунтов Google используется 2FA и всего около 12% американцев используют менеджеры паролей (статистика Pew Research Center). Недавно эта тема обсуждалась на Geektimes.

Оставим за скобками то, что Google при активации 2FA требует обязательного указания номера телефона — это не устраивает тех, кто не готов делиться персональными данными с корпорацией. Вполне разумная позиция. Но большинство пользователей предпочитают игнорировать 2FA по другим причинам. Почему?
Google является одним из первопроходцев по внедрению 2FA среди крупных интернет-сервисов. Кроме того, компания активно пропагандирует этот метод и распространяет приложение Google Authentificator App для привязки аккаунта к конкретному устройству. Двухфакторная аутентификация работает и просто по SMS."

Почему стало написана данная статья, простите, пришло уведомление, а том чего то там сменить. Но с нынешними реалиями, это у вас(тем кто дает сервис и гранит саму базу) надо работать над утечками, и автоматизировать в случае сбоя до автоматического отката  пользовательских настроеек -ценостей.  Хотя это сугубо мнение пользователя, играющего в ваш проект.

Когда Иннова продает налево-направо БД авторизации никакая смена паролей не поможет. Все это бред. 

У играющих сутками в ММОРПГ уже с мозгами полная каша, откуда у Инновы база, да и нахер вы им нужны, у них свои проекты.

Да и нахер ваша двухфакторная аутентификация, чтоб запустить какую-то игрушку, нужно бежать к телефону смотреть циферки, верю в статистику 10%. Безопастность аккаунта полностью обязанности разработчика продукта, взломали аккаунт, пусть восстанавливают и дают конпенсацию. Незнают как более эффективней сделать защиту, пусть наймут образованных сотрудников, которые хотя бы умеют читать, а не те, которые сейчас работают, бухгалтера одни.

Я Уася из пятава класа и ани мне далжны все патамушта я Уася из пятава класа и мой пароль Уася5А!

1) Привязать почту через двухфакторку к тлф (gmail тот же)

2) Включить доступ только для зарегестрированных ПК

3) Впринципе пароли, коды, двухфакторки для игры и остальные системы безопасности становятся не нужны.

"Обязательная периодическая смена паролей повышает безопасность"

"Когда у организации есть подтверждение того, что пароли скомпрометированы, то принуждать к их смене нужно."

Так они и были скомпроментированны, тут же на форуме была массовая истерика по поводу взломов аккаунтов.