Usiamo PGP per quasi tutto ed è così irrealizzabile per la bruteforce che è considerato sicuro. Questo è il principio guida oltre a CryptoLocker. Ma per cose come e-mail, SSH e HTTPS, è ancora considerato sicuro anche se il costo computazionale della crittografia dovrebbe essere basso, poiché si tratta di attività comuni che devono accadere milioni di volte al giorno. Ora se una password crittografata con crittografia strong è in chiaro, l'aggressore non può farci nulla. Ma una password hash è vulnerabile - può essere bruta. Quindi esiste una politica di password che può rendere sicura la crittografia di una password con crittografia strong? Un utente può utilizzare le sue chiavi PGP per crittografare la password prima di inviarla al server? Che dire della crittografia end-to-end?