En general, los atacantes son adaptativos. Ellos saben lo que piensa la gente. Si los usuarios tienden a comenzar sus contraseñas con 'z', los atacantes comenzarán su fuerza bruta con esa letra.
Cualquier estrategia específica, como elegir una 'z' como primera letra, puede darle una ventaja sobre el atacante solo mientras el atacante no lo sepa; por lo tanto, hablar de ello en un sitio público de preguntas y respuestas; un sitio no es el movimiento más inteligente de todos los tiempos. Además, los atacantes siempre tienen la opción de probar las contraseñas en un orden aleatorio, lo que garantiza un caso no peor para el atacante. Cuando hay N contraseñas equiprobables, el costo promedio para el atacante es N / 2 , y al intentar las contraseñas en un orden aleatorio, el atacante logra ese costo independientemente de su estrategia de elección.
El punto importante es que la protección de contraseña es estocástica. Para cualquier instancia de contraseña específica, un atacante puede tener suerte; También puede ser especialmente desafortunado. Por lo tanto, analizamos la resistencia de las contraseñas en función del proceso de generación de contraseñas , no en función de una instancia de contraseña específica: el proceso de generación nos dice cuál será la tasa de éxito promedio del atacante. "Promedio" es la palabra crucial.
Tome nota, también, de que las probabilidades gobiernan su vida: cada vez que sale de su hogar, está tomando la apuesta probabilística de que no será golpeado por un rayo o mordido por un Rottweiler. Aceptas esto porque instintivamente realizas un análisis de costo / beneficio y consideras que tales eventos son lo suficientemente improbables como para que no superen los beneficios de poder caminar afuera.
Ese concepto también se aplica a las contraseñas: confiará en que su proceso de generación de contraseñas tiene una entropía suficientemente alta, es decir, que la tasa de éxito del atacante sea lo suficientemente baja, que los atacantes ni siquiera intentarán (o ganarán) t tener éxito con una probabilidad suficientemente alta). En ese sentido, "aaaaaaaa" no es más fuerte o más débil que "zzzzzzzz", siempre y cuando el método que utilices para generar tu contraseña pueda producir ambas con las mismas probabilidades. La fortaleza de una contraseña no está en lo que es, sino en lo que podría haber sido.