Supponendo che le password debbano essere costituite da caratteri ASCII stampabili (di cui ci sono 95), il numero di possibili password di 32 caratteri è 95 32 &; 2 × 10 63 .
Nel frattempo, il numero di password di 31 caratteri è 95 31 e circa; 2 × 10 61 , cioè circa due ordini di grandezza in meno. (In realtà differiscono precisamente per un fattore di 95.) Il numero di password di 30 caratteri è ancora inferiore, 95 30 e circa; 2 × 10 59 , e così via. In effetti, il numero totale di password possibili di lunghezza inferiore di 32 è uguale a:
95 31 + 95 30 + 95 29 + ··· + 95 2 + 95 1 + 95 0
= 95 32 × (1/95 + 1/95 2 + 1/95 3 + ··· + 1/95 31 + 1/95 32 )
< 95 32 × (1/95 + 1/95 2 + 1/95 3 + ··· + 1/95 31 + 1/95 32 + 1/95 33 + 1/95 34 + ···)
= 95 32 × 1 / (95 - 1)
= 95 32 / 94
Pertanto, il numero di possibili password ASCII stampabili di esattamente 32 caratteri è 94 volte maggiore del numero totale di tali password di inferiore a 32 caratteri. Quindi, se un utente malintenzionato è in grado di decifrare una password di 32 caratteri con la forza bruta, impiegherà in media un 94 ° minuto per craccare qualsiasi password più breve.
Ovviamente, questo presuppone che le tue password siano scelte casualmente fuori dallo spazio di tutte le password idonee. Poche password del mondo reale sono tali, ma come approssimazione approssimativa, possiamo ancora supporre che la quantità di lavoro necessaria per indovinare una password con la forza bruta cresca esponenzialmente con la lunghezza della password - la base dell'esponente sarà semplicemente qualcosa di più piccolo di 95.
Inoltre, non c'è nulla di speciale nel numero 32 nel calcolo sopra. Sostituirlo con qualsiasi altra lunghezza massima produrrà esattamente lo stesso risultato: è sempre una buona idea rendere le tue password il più a lungo possibile, almeno fino al punto in cui la password è abbastanza lunga da rendere praticamente impossibile la forza bruta.
Dov'è quel punto? Bene, il consenso generale tra i crittografi è che 2 64 e circa; 2 × 10 19 forza bruta suppone può essere fatto con abbastanza sforzo , mentre 2 128 e circa; Le supposizioni 3 × 10 38 sono probabilmente al di là delle capacità di qualsiasi attaccante attualmente esistente o prevedibile (sì, anche l'NSA), e 2 256 e circa; 1 × 10 77 indovina sicuramente oltre le capacità dell'umanità . Lo sforzo richiesto per rompere una password ASCII casuale di 32 caratteri con la forza bruta, cioè 95 32 e circa; 2 × 10 63 indovina, è tra le ultime due, ma sicuramente più vicino (su scala logaritmica) a 2 256 che a 2 128 , entrambi i quali sono attualmente considerati indistruttibili. Quindi, possiamo tranquillamente dire che, se la tua password è una stringa ASCII casuale, 32 (o anche 31 o 30) caratteri è abbastanza abbondante.