Alcune applicazioni di gestione password suggeriscono password complesse formate da gruppi di parole casuali racchiuse in un semplice delimitatore. Ad esempio:
duplicate.aught.cavemen.length
Al contrario, credo che un suggerimento basato su gruppi di quattro cifre non sia così rumoroso (importante quando si cerca di leggere e digitare la password), più facile da supportare (non c'è bisogno di cercare e mantenere un dizionario), e proprio come sicuro nella pratica . Ad esempio:
1202.8746.9173.0953
L'alternativa mostrata è equivalente alla stringa di quattro parole casuali estratte da un dizionario di 10.000 parole a cui tutti hanno accesso.
Come presentato, un attaccante che non è né fortunato né sfortunato dovrebbe controllare circa 158 milioni di ipotesi al secondo per decifrare la password in un anno.
Se entrambi vengono generati utilizzando un RNG protetto da crittografia e persistono utilizzando una funzione di derivazione della chiave strong, avresti qualche motivo per preferire un criterio basato sul dizionario su una politica a cifre casuali?