¿Por qué los sitios web obligan al usuario a usar una contraseña larga y complicada cuando la fuerza bruta no es posible?

Hoy en día, las políticas de contraseña de escenario a las que hay que defenderse es el robo de la base de datos completa de contraseñas. Esto es algo que sucede con una frecuencia alarmante incluso en sitios web de gran reputación.

Cuando los desarrolladores del sitio web siguen las mejores prácticas comunes, las bases de datos de contraseñas generalmente no contienen las contraseñas de texto simple, sino que almacenan un hash de cada contraseña. Un atacante que tenga acceso a estos datos puede realizar un ataque de fuerza bruta sin conexión al calcular los valores hash de las contraseñas débiles comunes y compararlos con los hashes en la base de datos. Para defenderse contra este tipo de ataque, los usuarios deben estar motivados para usar contraseñas seguras.

Su contraseña también se puede usar para obtener / proteger una clave de cifrado que se usa para derrotar a jugadores como la NSA.

Imagine que NSA realmente tiene acceso sin restricciones a las redes internas del popular proveedor de servicios A, pero no puede cambiar el código que se ejecuta en los servidores de A. A continuación, encripta todos los datos del usuario con claves aleatorias y las claves se encriptan con las contraseñas del usuario antes de que se almacenen en los servidores de A. Ahora, aunque NSA puede ver todo el tráfico y el contenido del servidor, a menos que rompan las barreras de memoria entre procesos en el servidor, no pueden acceder a ninguna clave secreta o datos del usuario. Su único ataque aquí es forzar la contraseña del usuario contra la clave cifrada.

Aquí, la NSA también puede ser otros actores nacionales o la aplicación de la ley con garantía.