La risposta varierà selvaggiamente a seconda delle abitudini e della consapevolezza della sicurezza della persona in questione. Tuttavia, possiamo arrivare ad alcune conclusioni a seconda del "tipo" di persona. Almeno, possiamo farlo se semplifichiamo le persone in una delle due categorie:
Le persone che utilizzano i computer per generare password veramente casuali
ovvero persone con "buona" consapevolezza della sicurezza. Questo è facile. Nessuna di queste persone avrà password nella tua lista. Anche con una semplice stringa alfanumerica di 8 cifre (che non è più una password valida) ci sono ~ 2e14 combinazioni possibili di password, il che significa che le probabilità di trovare una di quelle password in una lista con 10 milioni di password sono solo 1 su 5 milioni. Meglio che vincere alla lotteria, ma ancora piuttosto male. Personalmente io uso 16 password casuali di carattere (che è probabilmente abbastanza comune), quindi guardiamo a ~ 5e28 possibili password e quindi piccole probabilità di selezionarne una nella tua lista (presumendo che la tua lista abbia anche 16 password di caratteri su esso).
Persone che scelgono le proprie password facili da ricordare
Come è generalmente noto, le persone tendono a riutilizzare molte password e molte persone usano password comuni. Tuttavia, può essere molto difficile calcolare effettivamente la frequenza con cui vengono utilizzate determinate password. Ad esempio, la maggior parte degli studi sui dump delle password rileva che 123456
è la password più comune. Questo articolo impegna la frequenza di tale password allo 0,6%, ma come discusso in quell'articolo ci sono molti avvertimenti. La mia breve lettura di questa trama suggerisce che le prime 25 password più comuni potrebbero spiegare qualcosa come il 10% di tutte le password. È difficile estrapolarlo per le prime 10 milioni di password.
Come suggerisce il mio primo link, ci sono probabilmente molti avvertimenti. Ad esempio, se chiedi a qualcuno di scegliere una password per il proprio conto bancario, potrebbero provare più di 123456
. In effetti, ci sono alcune prove che le persone stanno migliorando con le password negli ultimi tempi e molte di queste serie di dati si basano su perdite di qualche anno. Questi sono solo due dei tanti trucchi che rendono difficile stimare con certezza quali sono le probabilità che la password di un utente casuale sia presente nell'elenco.
Ancora una volta, dipende molto dalla persona. Se stai parlando del tipo di persona che sceglie 123456
per la loro password, allora c'è il 100% di probabilità che la loro password sia nella tua lista di 10 milioni di password. Se stai parlando di qualcuno che genera password lunghe casuali, probabilmente c'è una probabilità dello 0% che la loro password sia nella tua lista. Se stai parlando di qualcuno nel mezzo, allora chissà.