L'autore dell'attaccante è nella tua testa. Con questo intendo che l'hacker conosce te e conosce le tue strategie di generazione della password. Se usi sistematicamente password che iniziano con una "Z", inizierà la ricerca con tali password. (Specialmente dal momento che hai descritto questo stesso metodo su un sito Web pubblicamente leggibile.)
potresti avere un vantaggio se scegli le tue password in modo diverso da tutti gli altri; ma gli attaccanti si adattano e si adattano velocemente . La scelta di "ZZZZZZZZZZ" come password è strong solo fino a quando gli aggressori provano potenziali password in ordine alfabetico; e gli attaccanti hanno già smesso di farlo. Per prima cosa provano le password con "struttura", come dieci ripetizioni della stessa lettera, perché è una specie di password che gli utenti umani scelgono (quindi continuano con le derivazioni da parole e nomi comuni).
È difficile sconfiggere gli attaccanti; è particolarmente difficile per sapere quanto hai offeso gli aggressori, perché l'intelligenza non è qualcosa che è facilmente quantificabile e misurabile. La posizione normale è quella di assumere che gli aggressori sappiano tutto sul processo di generazione della password, salvare le scelte casuali all'interno di quel processo; questo è l'unico modo per stimare in modo affidabile la forza della tua password.
Indipendentemente da come scegli la tua password, un utente malintenzionato intenzionato a provare tutte le possibili combinazioni di lettere può sempre generare queste combinazioni in un ordine casuale, che gli garantisce il tasso di successo medio teorico di N / 2 (se ci sono N possibili password, proverà in media la metà di esse prima di colpire quella giusta). Non esiste un metodo di generazione password che possa essere usato per impedirlo.