Questo è principalmente corretto.
La forza della password viene misurata in base alla grandezza dello spazio di ricerca per la password specificata (supponendo che ogni password nello spazio di ricerca sia ugualmente probabile, ne parleremo più avanti). Lo spazio di ricerca per una password di una sola cifra è molto piccolo {0, 1, 2, 3, 4, 5, 6, 7, 8, 9} e un attacco di forza bruta (che prova ogni combinazione) da un umano può trovare la tua password in circa cinque secondi. Un computer veloce o appositamente costruito può farlo in meno di un nanosecondo.
Una password composta solo da cifre lunghe 100 cifre fornisce uno spazio di ricerca molto più ampio. Ci sono 10 ^ 100 combinazioni possibili, quindi un attacco di forza bruta, in media, dovrà provare metà di queste combinazioni per trovare la tua password. Ci vorrà molto, molto tempo, anche se hai un computer in grado di provare un milione di combinazioni al secondo.
Tuttavia, se scegli il numero di 100 cifre in modo non casuale, ad es. se preferisci una combinazione di 100 cifre che consiste di alternare 1 e 0 perché è più facile da ricordare, lo spazio di ricerca più ampio non ti proteggerà. Un attaccante che tenga conto del comportamento umano programmerà il suo computer per provare prima combinazioni come questa e quindi troverà la tua password molto prima che se avessi scelto le tue 100 cifre in modo casuale.
Quindi il processo attraverso il quale si arriva alla tua password è rilevante. Se non si utilizza un processo veramente casuale, è probabile che la password sarà debole e facilmente incrinata.
Se mi dai una password da guardare, a volte posso determinare che si tratta di una password errata in una volta. Se la tua password è "123456", o "password", o qualsiasi altra delle password più comuni che le persone usano in questi giorni, è ovviamente una pessima password, e posso determinarla guardando la password da sola, semplicemente perché vedo che non è affatto casuale. Ma se mi dai qualcosa come "15-L-s-04-02", è più difficile per me determinare se questa è una password sicura o meno. Se hai una figlia chiamata "Liv Sarah" che è nata il 2 aprile 2015, la password è molto debole se abbiamo a che fare con un aggressore che conosce e ti indirizza in modo specifico, anche se lo spazio di ricerca non è poi così male ( cifre, un carattere speciale, caratteri minuscoli e maiuscoli, 12 caratteri lunghi - > spazio di ricerca di dimensioni 2 ^ 73 o una password con una forza di 73 bit, che non è molto buona, ma comunque abbastanza decente).
Quindi, le cattive password possono essere determinate semplicemente guardando la password. È molto più difficile determinare se una password è buona semplicemente guardandola, perché è importante sapere se ha un qualche tipo di significato per te che un'altra persona potrebbe in definitiva indovinare.
Tuttavia, di solito possiamo determinare se una password è buona o cattiva solo guardandola perché conosciamo la maggior parte delle abitudini di password delle persone, quindi anche se non conosco il nome o il compleanno di tua figlia, so ancora che un sacco di le persone usano nomi, iniziali e componenti della data come parti delle loro password, quindi programmerei il mio computer per provare prima alcune migliaia di password più comuni, poi provate combinazioni con componenti o iniziali data, quindi mescolare questi componenti in combinazioni diverse ecc. e il "15-Ls-04-02" sarebbe ancora trovato molto, molto prima rispetto a quando avessi provato tutte le possibili combinazioni di 12 caratteri.