Hãy thực hiện một phép tính nhanh (và quên đi các thực tiễn tốt nhất trong giây lát):
Giả sử khung thời gian sáu tháng để kẻ tấn công hack hệ thống của bạn. Chúng ta cũng giả sử rằng mật khẩu được chọn ngẫu nhiên từ một bộ ký tự có kích thước 62.
Kịch bản 1: Bạn sử dụng mật khẩu 9 ký tự cho toàn bộ sáu tháng.
Kịch bản 2: Bạn sử dụng mật khẩu 9 ký tự trong ba tháng đầu và mật khẩu 9 ký tự khác nhau cho ba monts còn lại.
Kịch bản 3: Bạn sử dụng mật khẩu 10 ký tự cho toàn bộ sáu tháng.
Trong Kịch bản 1 , kẻ tấn công vũ phu tấn công tài khoản của bạn một cách chắc chắn 100%, nếu anh ta có thể thực hiện 62 ^ 9 lần thử trong thời gian đó.
Trong Kịch bản 2 , nếu anh ta chỉ có thể thực hiện (62 ^ 9) / 2 lần trong một nửa thời gian (ba tháng), anh ta sẽ hack tài khoản với độ chắc chắn 50%. Trong hiệp hai, anh sẽ có thêm một cơ hội với sự chắc chắn 50%. Vì vậy, theo thống kê, anh ta sẽ hack tài khoản với độ chắc chắn 75%.
Trong Kịch bản 3 , anh ta sẽ có 62 ^ 9 lần thử trong toàn bộ sáu tháng. Nhưng có 62 ^ 10 khả năng. Vì vậy, anh ta sẽ hack tài khoản chỉ với độ chắc chắn 1/62, khoảng 1,6%.
Vì vậy, nếu chúng tôi loại bỏ tất cả các yếu tố khác (như mật khẩu bị đánh cắp và các loại tấn công khác), khuyến nghị là chọn mật khẩu dài hơn thay vì sử dụng mật khẩu ngắn hơn (hoặc đơn giản hơn), ngay cả khi chúng được thay đổi thường xuyên hơn. Đặc biệt, vì trong Kịch bản 3 , chỉ có 10 ký tự để nhớ, trong khi ở Kịch bản 2 , nó là 18 ký tự.