Bene, l'hai detto tu. Dipende dal contesto. Precisamente, dipende da cosa deve fare l'attaccante per verificare un'ipotesi sulla chiave di sessione.
Se l'attaccante, per testare una chiave, deve parlare con il tuo server, allora questo è un attacco online e non andrà più veloce di quello che il tuo server può fare - inoltre, potresti applicare contromisure, ad es smettere di parlare con i clienti che ovviamente si comportano in modo aggressivo. 33 bit dovrebbero essere abbastanza per questo. Questa è, dopo tutto, la situazione dei server che eseguono l'autenticazione basata su password dei client.
Se l'utente malintenzionato può semplicemente eseguire calcoli sulle proprie macchine, per verificare se una potenziale chiave di sessione è quella giusta oppure no, allora questo è un attacco offline , limitato solo dalla potenza di calcolo disponibile all'attaccante. In questa situazione, 33 bit sono troppo pochi per essere un grosso problema per l'attaccante. La soglia esatta dipende dalla motivazione dell'attaccante, dalla sua potenza di calcolo disponibile, dalla sua pazienza e dalla quantità di calcoli necessari per verificare una chiave di sessione; ma 33 bit sono davvero troppo bassi per questo.
Se il contesto è quello di un attacco online o offline dipende dai dettagli dei tuoi protocolli. Se la "chiave di sessione" viene appena inviata al server all'interno di un tunnel SSL (ad esempio un cookie per un sito Web HTTPS), si tratta di un contesto di "attacco online". Basta configurare il firewall per bloccare i client che si collegano troppe volte in un breve intervallo di tempo, e dovresti stare bene (o, almeno, meglio dei tuoi concorrenti, così gli attaccanti li attaccheranno, non tu).