El atacante está en tu cabeza. Con esto quiero decir que el atacante te conoce y conoce tus estrategias de generación de contraseñas. Si usas sistemáticamente contraseñas que comienzan con una 'Z', entonces él comenzará su búsqueda con dichas contraseñas. (Especialmente desde que describió este mismo método en un sitio web de lectura pública).
Usted podría tener una ventaja si elige sus contraseñas de manera diferente a todos los demás; pero los atacantes se adaptan, y se adaptan rápido . La elección de 'ZZZZZZZZZZ' como contraseña es segura solo mientras los atacantes intenten contraseñas potenciales en orden alfabético; y los atacantes ya han dejado de hacer eso. Primero intentan contraseñas con "estructura", como diez repeticiones de la misma letra, porque es un tipo de contraseñas que eligen los usuarios humanos (luego continúan con derivaciones de palabras y nombres comunes).
Es difícil burlar a los atacantes; es especialmente difícil saber cuánto superó a los atacantes, ya que la inteligencia no es algo que se cuantifique y mida fácilmente. La postura normal es asumir que los atacantes saben todo acerca del proceso de generación de su contraseña, guardar las elecciones aleatorias dentro de ese proceso; esta es la única forma en que puede estimar de manera confiable la fortaleza de su contraseña.
Independientemente de cómo elija su contraseña, un atacante que intente probar todas las combinaciones de letras posibles siempre puede generar estas combinaciones en un orden aleatorio, lo que le garantiza la tasa de éxito promedio teórica de N / 2 (si hay N contraseñas posibles, intentará en promedio la mitad de ellas antes de acertar con la correcta). No hay un método de generación de contraseña que pueda usarse para evitar eso.