Lite o.t men:
Det roliga med siter som försöker ÖKA säkerheten genom att införa regler runt valet av password faktiskt ger så många tips till en bruteforceknäckare att det minskar antalet möjliga kombinationer, dvs får motsatt effekt. Nog hjälper det att öka upp antalet tecken i ett password, men övriga regler + mänsklig psykologi stjälper mer än det hjälper.
Ta följande regler:
"Använd minst 8 tecken i ditt password": fint, nu behöver vi bara bruteforca strängar som är ca 8 till 10 tecken. I många fall är passwordet paddad med extratecken för erhålla rätt längd.
"använd konstiga bokstäver" gör att folk använder minst ett q, z eller x. Bra, då minskade antalet kombinationer då vi kan först bruteforca genom att testa med dessa tecken på alla 8-10 positioner. Vi vet nu att minst ett tecken är av dessa tecken (konstiga tecken är kulturberoende btw).
"Använd minst en siffra": de flesta paddar sina passwords med siffran sist så då minskade antalet kombinationer på just den teckenpositionen (7-10) ner till 10 st iställer för 255.
"Blanda stora och små bokstäver": Nyttig info även detta.
Sedan kan bruteforce attacken börja med att tillämpa dessa regler enligt ett dictionary så får man antagligen en träff mycket snabbare än att köra en tokslump.
... nu har vi reducerat det totala antalet möjliga ord ner till en mycket mindre mängd.
