C'è l'aspetto matematico che cambierà in base al numero di caratteri usati e al numero da cui puoi scegliere. Questo può essere calcolato per qualsiasi password specifica per qualsiasi sistema specifico per ottenere una parte della risposta.
Ancora più importante. Per le persone che guardano regolarmente i dump delle password (penetration tester e molti altri professionisti della sicurezza), vediamo i pattern e sappiamo quale sarà il prossimo pattern probabile. Ad esempio quando vedo quanto segue:
utente: [email protected] password: LoveMyJob6
Quasi sempre assumerò che il 6 alla fine rappresenti il suo incremento di un numero perché ha dovuto cambiare una password diverse volte. Allo stesso modo, puoi immaginare quello che immagino sia probabile che le sue prossime due password siano:
LoveMyJob7
LoveMyJob8
LoveMyJob9
ecc ...
Come tester di penetrazione e presumibilmente come attaccante, sì, lo prenderò assolutamente in considerazione e proveremo prima questi. Questo è solo uno schema, ma ci sono molti modelli simili. Se passi un po 'di tempo a guardare i dump delle password che sono stati resi pubblici su siti come pastebin.com, inizierai a vederli tu stesso. Sarai anche inorridito da quante cattive password siano effettivamente.
Tornando alla tua domanda, se sto cercando di accedere a una società e ho diversi account, cercherò anche di accedere ad almeno un account il più velocemente possibile, quindi sì, sto andando a eseguo tutti gli account (organizzazione di destinazione) che prima ho utilizzato la password esatta che trovo prima (perché è facile e veloce caricare una lista come quella in uno strumento come Hydra. Dopo di allora guarderò le variazioni dell'attuale password, quindi le prime 1000 password, quindi cercare parole simili che l'utente ha sui siti personali o dal sito Web dell'azienda o dell'azienda.Altre cose come se la vecchia password è una parola in un'altra lingua come il tedesco. Dizionario tedesco o le 500 parole tedesche più utilizzate come password.
In definitiva la scelta umana non è casuale, quindi la prospettiva degli attaccanti che attaccano il modello umano è molto più veloce dell'attacco con la forza bruta. Quindi sì, gli attaccanti e i tester di penetrazione faranno quel percorso il più lontano possibile.
Riferimenti alla tua domanda specifica su "supersecret11 to s.upersecret11"
per me questa è una piccola modifica di una passphrase e non l'equivalente di cambiare l'intera passphrase. Intendiamoci, sì, avrei provato supersecret12 o qualcos'altro prima, ma se vedessi un altro account in cui lo stesso utente aveva perso anche un'altra password come l.esssecret11, immediatamente tornerò indietro e provo le varianti che sembrano simili.
È difficile misurarlo, ma poiché gran parte della passphrase è rimasta invariata, non la considererei uguale a quella di modifica dell'intera passphrase.