Obviamente, las mejores contraseñas serán contraseñas generadas aleatoriamente muy complejas y almacenadas en una bóveda de contraseñas. Para el usuario promedio, sin embargo, esto podría ser un ligero exceso.
Suponiendo que el usuario promedio no es lo suficientemente interesante para un ataque dirigido por un atacante competente, ¿en qué momento una contraseña se convierte en lo suficientemente segura del escenario de ataque más probable, un diccionario o un ataque de fuerza bruta? contra una gran base de datos de hash de contraseña comprometida que apunta a la fruta de bajo rendimiento.
¿Cuál es el nivel mínimo de entropía que debe cumplirse, teniendo en cuenta que el usuario no tiene control sobre el tipo de hashing aplicado en la contraseña?