Si forzar una contraseña es aaa, AAA, aab, AAB, etc., hasta ZZZ, ¿no sería ZZZZZZ la contraseña más segura?

El atacante está en tu cabeza. Con esto quiero decir que el atacante te conoce y conoce tus estrategias de generación de contraseñas. Si usas sistemáticamente contraseñas que comienzan con una 'Z', entonces él comenzará su búsqueda con dichas contraseñas. (Especialmente desde que describió este mismo método en un sitio web de lectura pública).

Usted podría tener una ventaja si elige sus contraseñas de manera diferente a todos los demás; pero los atacantes se adaptan, y se adaptan rápido . La elección de 'ZZZZZZZZZZ' como contraseña es segura solo mientras los atacantes intenten contraseñas potenciales en orden alfabético; y los atacantes ya han dejado de hacer eso. Primero intentan contraseñas con "estructura", como diez repeticiones de la misma letra, porque es un tipo de contraseñas que eligen los usuarios humanos (luego continúan con derivaciones de palabras y nombres comunes).

Es difícil burlar a los atacantes; es especialmente difícil saber cuánto superó a los atacantes, ya que la inteligencia no es algo que se cuantifique y mida fácilmente. La postura normal es asumir que los atacantes saben todo acerca del proceso de generación de su contraseña, guardar las elecciones aleatorias dentro de ese proceso; esta es la única forma en que puede estimar de manera confiable la fortaleza de su contraseña.

Independientemente de cómo elija su contraseña, un atacante que intente probar todas las combinaciones de letras posibles siempre puede generar estas combinaciones en un orden aleatorio, lo que le garantiza la tasa de éxito promedio teórica de N / 2 (si hay N contraseñas posibles, intentará en promedio la mitad de ellas antes de acertar con la correcta). No hay un método de generación de contraseña que pueda usarse para evitar eso.

La suposición de que los craqueadores de contraseñas van de a a ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ es una de las razones. Los crackers de contraseñas han evolucionado para usar técnicas mucho más complejas que se extienden al uso de cadenas de Markov etc. Para tener una mejor idea de qué profesionales Cuando intente descifrar una contraseña, lea este excelente artículo:

Anatomía de un hack: cómo saquean los crackers contraseñas como "qeadzcwrsfxv1331"

Incluso en el caso en el que se enumeraron de a a ZZZZZZZZ, no debería tomar mucho tiempo llegar a ZZZZZZZZZZ dado el poder de procesamiento que tienen a su disposición y la limitada longitud y espacio de claves del ejemplo que proporcionó.

Solo la fuerza bruta más simple funcionaría de esa manera. Un mejor uso de su tiempo sería agregar un carácter adicional.

Si ingresa aquí enlace hay una calculadora que demuestra cuánta longitud de contraseña importa. Por ejemplo, si solo se usa alfa en mayúsculas / minúsculas, md5, una contraseña de 10 caracteres lleva 531 años a la fuerza bruta. Una contraseña de 11 caracteres tarda 27652 años en las mismas condiciones.