Se sai che qualcuno ha una password di 1 cifra, scelta da un dado comune, allora sai che ci sono 6 possibili password. Se qualcuno tira un dado due volte, sai che può essere 1-6 per entrambe le posizioni 1 e 2, quindi 6 * 6 = 36 possibili password. Continui a moltiplicare da solo, o aumentare ad un esponente più alto, ogni volta che aggiungi una cifra.
Una password di lettere (maiuscole 26 e minuscole 26 possibilità) e cifre (10 possibilità) è quindi 62 ^ lunghezza, ad esempio 62 ^ 6 per una password di 6 caratteri o 57 miliardi di possibilità.
Se hai un formato fisso, devi solo moltiplicare le possibilità per ogni posizione, proprio come abbiamo fatto con le normali password. Se il formato è simile a A0a0a0A, le opzioni sono:
UC # low # low # UC
26 * 10 * 26 * 10 * 26 * 10 * 26 = 457 million
Quanto è strong questo? Dipende da quanto velocemente puoi craccare la password. Se si ha qualcosa come un hash MD5 della password (ad esempio se il database è stato violato), è possibile provare alcuni miliardi di tentativi al secondo con software standard e hardware di base. Se non hai l'hash, quindi puoi solo provare ad accedere a un sito web, potresti ottenere circa 10 tentativi al secondo (o 2 al secondo o 500, a seconda delle circostanze, ma niente vicino a un miliardo) .
Se la mia password può essere 1, 2, 3, 4, 5 o 6, quindi in media, dopo 3 tentativi avrai indovinato. Lo stesso qui: se hai 457 milioni di password possibili e puoi fare 10 tentativi al secondo, e ci sono 2 626 560 secondi al mese, ci vorranno circa 9 mesi in media. Nel peggiore dei casi (se sei sfortunato e lo indovini nell'ultimo tentativo), occorrerebbero 1,5 anni. Se diventi molto fortunato, puoi indovinare correttamente al primo tentativo e crearlo in 0,1 secondi, ma le probabilità sono 1 su 457 milioni!