Il punto di forza di una password è definito come il tempo medio necessario a un utente malintenzionato per indovinarlo. Ci sono due elementi nella scelta di una password: intelligenza e casualità. Usare parole inglesi, frasi da libri, ecc. È intelligenza.
In pratica, praticamente qualsiasi scelta di password implica l'astuzia delle parti e la casualità delle parti. Ad esempio, se apri il tuo libro preferito e prendi le prime quattro parole di una pagina a caso come password, allora la scelta del libro è per lo più intelligente e la tua scelta di pagina è in gran parte casuale (ma se hai sfogliato le pagine "a caso" , c'è in realtà un bel po 'di intelligenza, perché è molto più probabile scegliere, ad esempio, pagina 42 su 100 rispetto a pagina 1 o pagina 100).
Se si presume che l'aggressore sia stupido, la password è solo protezione contro stupidi aggressori. Le scelte intelligenti delle password non proteggono da aggressori intelligenti. La quantità di casualità è una buona misura della forza della password, l'intelligenza non aiuta molto.
L'utente malintenzionato deve indovinare l'intera password. Se si combinano più elementi, deve prenderli tutti bene. Ad esempio, la tua password di supporto è AX e hai 50 scelte per A (stima per la prima parola di una pagina a caso in un libro lungo - avrai bisogno di più di 50 pagine per rendere conto del non-così- scelta casuale della pagina e per parole ripetute) e 36 scelte per X (due cifre, ottenute rotolando due volte un dado giusto). Poi ci sono 50 × 36 = 1800 possibili password. La concatenazione di più elementi aumenta sempre la forza della password, e lo fa in modo moltiplicativo (assumendo che gli elementi siano stati scelti in modo indipendente - se invece di lanciare un dado per X avessi scelto il numero di pagina in cui hai trovato la parola A, non ci sarebbero stati aggiunti forza, in quanto questo metodo è puramente intelligente e non casuale a tutti).
L'unica ragione per non utilizzare completamente la casualità per generare password è che una stringa di caratteri puramente casuale non è memorabile e può essere difficile o impossibile da digitare. Se vuoi essere facile da digitare, puoi attaccare a lettere casuali; questo aumenta il numero di caratteri e puoi facilmente misurare come (ogni lettera aggiuntiva moltiplica il numero totale di possibilità per 26). La Memorabilità richiede di nuovo di aumentare la lunghezza per una determinata forza bersaglio; ci sono molti modi per farlo.
Combinare la X casuale con una A intelligente non è molto meglio che usare solo X. A avrà una piccola quantità di casualità, perché l'attaccante potrebbe non sapere quale libro hai scelto. Lo svantaggio di questo approccio è che è difficile quantificare quanto A è strong. Quindi, se vuoi essere sicuro che la tua password ha un certo punto di forza, dovrai fare in modo che X raggiunga praticamente questa forza, quindi A è superfluo.
Per questo motivo, potrebbe essere meglio scacciare A del tutto. Un approccio alla casualità memorabile che funziona bene per molte persone è selezionare diverse parole a caso ; diceware è un metodo popolare per questo.
La usability delle password è stata studiata in condizioni controllate. È difficile studiarli in natura, poiché i dati del nostro mondo reale derivano da violazioni non pianificate su sistemi in cui gli utenti sono stati lasciati al proprio dispositivo (il sito X viene violato, non sta usando l'hashing corretto, qualcuno pubblica l'elenco delle password). Se non altro, la conclusione è che le password sono sbagliate, ma trovare una sostituzione è un argomento di ricerca.