Como menciona Mark, la parte más difícil de atacar su contraseña de esta manera sería obtener acceso para capturar los números ingresados durante su llamada telefónica. Si un atacante quiere tocar su línea telefónica (suponiendo que no sea móvil) necesita acceso físico a su casa o punto de demarcación fuera de su casa. Dependiendo de dónde viva, puede que no sea difícil acceder a su punto de demarcación para instalar un grifo, pero el atacante deberá saber dónde vive. Alguien con acceso a la empresa de telecomunicaciones también podría hacer esto, pero eso es generalmente mucho más difícil de hackear.
Luego, adjuntarían un dispositivo que graba tonos DTMF para que luego puedan ver una llamada a Fidelity seguida de su código de acceso. Capturar los tonos DTMF enviados al marcar y convertirlos de nuevo a su representación numérica es bastante fácil.
Alternativamente, si marca Fidelity con un teléfono inteligente, podría ser mejor para el atacante. Si pudieran engañarlo para que instale un troyano en su teléfono, esto podría monitorear sus llamadas y capturar cualquier dígito enviado. Por supuesto, el troyano también podría capturar su contraseña exacta si inicia sesión en el sitio web de Fidelity utilizando el navegador del teléfono.
Otro cliente me ha dicho que puede iniciar sesión en el sitio web de Fidelity con la misma contraseña numérica que usa por teléfono. Si un atacante solo quiere ingresar a su cuenta, entonces no sería necesario forzarlo de manera bruta.
Suponiendo que el hacker deseara su contraseña original, tendrían que compilar las posibilidades. 1 y 0 solo representan números, mientras que 2 - 9 representan un número o una de tres a cuatro letras. Ya que querrían distinguir entre mayúsculas y minúsculas, eso nos da 9 posibilidades de caracteres totales por clave.
El peor escenario (lo que significa que no se utilizaron 1 o 0, y todos los 7 y 9) para una contraseña de 8 caracteres sería 9 ^ 8, o 43,046,721. Es poco probable que una persona realmente use los 7 y los 9, por lo que es probable que ese número sea mucho menor. También pueden priorizar ese conjunto de posibilidades con palabras u otros formatos de contraseña comunes que se adivinan primero para mejorar sus probabilidades de encontrarlo antes.