"Non considerando la forza bruta" - questo è esattamente ciò che misurano questi strumenti.
Ovviamente non provano l'ingegneria sociale, o cercano di scoprire se è il compleanno del cane della prima ragazza dell'utente. L'aggressore potrebbe saperlo, ma questi strumenti no.
Quello che misurano è semplicemente la difficoltà per uno strumento bruteforcing di craccarlo. Nemmeno l'entropia della password, che è un attributo del metodo di generazione, è solo una stima di quanto tempo impiegherebbe uno strumento bruteforcing per trovare con successo la password corretta.
Ovviamente, l'entropia ha un effetto su questo, ma è solo l'entropia totale che conta, non l'entropia per carattere. Quindi sì, avere molte opzioni equi-probabili per ogni personaggio si aggiunge all'entropia, ma la lunghezza può giocare una parte ancora più importante nel rendere una password non incrinata, aumentando l'entropia per personaggio a una potenza più alta, per carattere contare. Ciò rende molto più alta entropia totale , che è l'unica cosa che conta.
Quindi, nel tuo caso - sì, la passphrase di 32 caratteri, alfa-solo è molto più strong della password di punteggiatura di 8 caratteri.
Cercherò di fare i calcoli qui per un po ': (correggimi quando ho torto):
Se assumiamo la tastiera standard in stile americano, ci sono 85 possibili caratteri stampabili (forse riesci a racimolare qualche altro, ma lasciamo andare per ora): lettere minuscole + lettere maiuscole + numeri + punteggiatura standard + spazio .
Questo garantisce una forza di ~ 6.3 bit per carattere; con una lunghezza di 8 caratteri, la password fornisce una forza di ~ 50,4 bit.
Nota davvero molto strong ... Anche se inseriremo alcuni personaggi "speciali", non lo aggiornerai molto.
Ora, per il tuo 32 caratteri, passphrase solo alpha ...
Assumiamo solo lettere minuscole e maiuscole (anche se non ne hai mai usate), più uno spazio (U + 32). Neanche numeri ...
Questo ti dà 54 possibili caratteri, circa ~ 5,8 bit per carattere. Con una lunghezza di 32 caratteri, questa resistenza è superiore a 185 bit. Sostanzialmente più strong. E questo è anche senza numeri, che sono generalmente accettati anche in schemi di password "semplici".
Bruce Schneier parla spesso di come passare a lunghe passphrase memorabili sarebbe molto più sicuro di una password dall'aspetto strano e casuale.
Ora capisci perché.