Tutti sono a conoscenza della convenzione / necessità di password sicure. Con il numero di diversi tipi di indizi che le persone possono utilizzare nelle loro password, oltre alle varie permutazioni dei cap e la sostituzione delle lettere maiuscole, un hacker dovrebbe fare molti tentativi in media per ottenere la password corretta.
Questo link: Rallentamento degli attacchi di password ripetuti discute qualche sforzo per scoraggiare tutte le supposizioni, anche se non è la stessa domanda che ho: perché non è diventata la norma interferire con ripetute ipotesi? Un tempo di backoff crescente dopo ogni ipotesi sbagliata è unidirezionale, e altri sono stati discussi.
Ho visto pochissimi tentativi di inibire tale ipotesi sui sistemi Linux, o su qualsiasi autenticazione basata sul web. Sono stato bloccato da un sistema quando ho sbagliato 3 volte.
Le persone IT impongono sempre più vincoli, come il conteggio dei caratteri, lettere, cifre, caratteri maiuscoli e l'esclusione del nome utente dalla password. Ma questo semplicemente aumenta il numero di tentativi necessari in una situazione in cui il numero non è realmente limitato.