Supponiamo di aver memorizzato una password casuale di 16 caratteri. Con 16 caratteri di un set di 95, ci sono un totale di 95 16 combinazioni possibili. Usando due livelli di crittografia ciascuno con una password di 8 caratteri, ognuno dei quali ha 95 8 combinazioni, il numero massimo di ipotesi che un utente malintenzionato avrebbe bisogno non è il previsto 95 8 × 95 8 (95 16 ) ma 95 8 + 95 8 (95 9 ), che è molto, molto più basso. Per questo motivo, una password lunga ti darebbe un livello di sicurezza di 95 16 , mentre due password di mezza dimensione ti darebbero solo un livello di sicurezza di 95 9 . L'autore dell'attacco dovrebbe solo rompere un contenitore alla volta.
L'unica volta in cui l'utilizzo di più livelli sarebbe utile è se si desidera utilizzare password diverse per impedire che la password di crittografia del disco comprometta la compromissione del contenitore. Poiché i computer devono naturalmente conservare la chiave di crittografia in memoria, un attacco di avvio a freddo o altri attacchi fisici potrebbero essere in grado di recuperare la chiave se il computer è acceso. Utilizzando un contenitore separato che si chiude quando non lo si utilizza, si riduce al minimo la quantità di tempo in cui la password del contenitore è presente in memoria senza dover sacrificare la crittografia completa del disco.
Quindi, cosa dovresti fare? Utilizza una singola password creata con la tecnica diceware . Ciò implica l'uso di dadi fisici per selezionare parole da un dizionario di parole 7776 (6 5 , il numero di combinazioni possibili di cinque dadi a 6 lati) e usando le parole delimitate da spazi come password. La quantità di entropia presente in una password diceware è log 2 (7776 n ), dove n è il numero di parole. Per avere più di 100 bit di entropia della password, che è spesso considerata il minimo per essere sicuro per il prossimo futuro, è necessario avere almeno 8 parole diceware casuali. Qualche meno di 6 parole e inizi a entrare in un territorio pericolosamente debole dove diventa possibile cracking.