Suponiendo que las contraseñas deben constar de caracteres ASCII imprimibles (de los cuales hay 95), el número de posibles contraseñas de 32 caracteres es 95 32 & approx; 2 × 10 63 .
Mientras tanto, el número de contraseñas de 31 caracteres es 95 31 & approx; 2 × 10 61 , es decir, aproximadamente dos órdenes de magnitud menos. (De hecho, difieren precisamente en un factor de 95). El número de contraseñas de 30 caracteres es aún menor, 95 30 & approx; 2 × 10 59 , y así sucesivamente. De hecho, el número total de contraseñas posibles de longitud menos que 32 es igual:
95 31 + 95 30 + 95 29 + ··· + 95 2 + 95 1 + 95 0
= 95 32 × (1/95 + 1/95 2 + 1/95 3 + ··· + 1/95 31 + 1/95 32 )
< 95 32 × (1/95 + 1/95 2 + 1/95 3 + ··· + 1/95 31 + 1/95 32 + 1/95 33 + 1/95 34 + ···)
= 95 32 × 1 / (95 - 1)
= 95 32 / 94
Por lo tanto, el número de posibles contraseñas ASCII imprimibles de exactamente 32 caracteres es 94 veces mayor que el número total de dichas contraseñas de menos que 32 caracteres. Por lo tanto, si un atacante es capaz de descifrar una contraseña de 32 caracteres por fuerza bruta, tomará, en promedio, un 94-th del tiempo para descifrar cualquier contraseña más corta.
Por supuesto, esto supone que sus contraseñas se eligen aleatoriamente del espacio de todas las contraseñas elegibles. Pocas contraseñas del mundo real son tales, pero como una aproximación aproximada, aún podemos asumir que la cantidad de trabajo necesario para adivinar una contraseña por fuerza bruta crece exponencialmente con la longitud de la contraseña; la base del exponente será algo más pequeño. de 95.
Además, no hay nada especial en el número 32 en el cálculo anterior. Reemplazarlo con cualquier otra longitud máxima producirá exactamente el mismo resultado: siempre es una buena idea hacer que sus contraseñas sean lo más largas posible, al menos hasta el punto en que la contraseña sea lo suficientemente larga como para hacer que el craqueo de fuerza bruta sea esencialmente imposible. p>
¿Dónde está ese punto? Bueno, el consenso general entre los criptógrafos es que 2 64 & approx; 2 × 10 19 adivinanzas de fuerza bruta se puede hacer con suficiente esfuerzo , mientras que 2 128 & approx; 3 × 10 38 las suposiciones están probablemente más allá de las capacidades de cualquier atacante existente o previsible (sí, incluso la NSA), y 2 256 & approx; 1 × 10 77 adivina es definitivamente más allá de las capacidades de la humanidad . El esfuerzo requerido para descifrar una contraseña ASCII aleatoria de 32 caracteres por fuerza bruta, es decir, 95 32 & approx; 2 × 10 63 adivina, está entre las dos últimas, pero definitivamente más cerca (en una escala logarítmica) a 2 256 que a 2 128 , ambos de los cuales son actualmente considerados como irrompibles. Por lo tanto, podemos decir con seguridad que, si su contraseña es una cadena ASCII aleatoria, 32 (o incluso 31 o 30) caracteres son suficientes.