Trošku extrémní mi přijde uvažovat pro brute force 107 tisíc znaků. Přece jenom, kolik lidí na planetě si bude dávat do hesla něco co ani neumí na klávesnici napsat? A pokud se tohle vezme v potaz, tak se dostaneme na nějakých 200 znaků ... (odhadem +- něco ještě podle země uživatele).Nemluvě o tom, že každý druhý soft na brute force umožňuje konfiguraci typu:
- Procházet jenom písmena abecedy
- Procházet číslice
- Procházet písmena abecedy a číslice
- ...Což za předpokladu, že znáte aspoň základní fakta o uživateli (např. z které je země, jeho věk, atd. - což se většinou dá dohledat), případně službě (v registraci se dozvíme kritéria) není problém nakonfigurovat tak, že brute force má opravdu "málo" kombinací a je velmi přesný ... Což je přesně ten důvod, proč admini chtějí po uživatelích speciální znaky, aby se útočníci nespoléhali na to, že tam je např. obyčejné slovo ...Přece jenom, co si budeme nalhávat, když systémy nebudou tyto hesla vynucovat, každý uživatel bude mít heslo s jeho abecedou a maximálně číslicemi a znaky: .,!"Tzn. 40 znaků, při délce hesla 5 znaků (považuji za průměr, při takto volné registraci, mimochodem neví někdo, proč některé služby mají omezení na maximální délku znaků? Např. na 8 znaků?) to dělá nějakých 102 milionů testů což při 100 testech za sekundu, které jsou zmiňované v článku je cca 12 dnů, který zdaleka nejsou nereálné ...Dále, také může nastat situace, že hacker se nějakým způsobem dostane na server a je schopný spouštět brute force tam (třeba jenom kvůli získání hesel uživatelů) a pak jsou tato hesla totálně směšná ...