Njaa. Det man kan göra är att testa kombinationer av ord istället. Sätt ihop alla möjliga ord för attacken.
Alltså tar man de 5.000 vanligaste orden i svenskan och kombinerar det på alla möjliga sätt så är det ungefär lika många kombinationer som 8 slumpvis tecken ger med stora, små, siffror och specialtecken. Det tar ca 30 sekunder att rassla igenom.
Redan här kommer man kunna knäcka ett helt gäng av lösenorden om det bara är 4 ord.
Tar man de 10.000 vanligaste orden och kombinerar så går det att kombinera på lika många sätt som ca 9 slumpartade tecken. Alla de ordkombinationerna kan testas på minuter. Det kommer kunna knäcka en hel hög till av lösenorden med 4 ord.
Metoden att använda ordkombinationer tror jag är bra ändå. För vi minns dem lättare. Och det går att få till bra lösenord den här vägen.
Men 4 ord är för få. Jag skulle säga som allra minst 6 ord. Helst 7 eller fler ord för att hålla en rimlig säkerhet. Slumpgenererade.
4 ord räcker inte riktigt.
Det kan räcka på individnivå om just de orden man valt inte är med i en ordboksattack. Men statistiskt sett kommer en rimlig mängd lösenord på 4 ord bli knäckta på minuter eller sekunder i en ordboksattack.
Skillnaden är, om vi bara har a-zA-Z som lösenord så är det 26*2*antal tecken, så ett 12 bokstäver långt lösenord blir då 52^18 kombinationer vilket är 390,877,006,486,250,192,896 kombinationer.
Säg att man bara tar de 30,000 vanligaste orden, och vi chansar på att det är fyra ord som är valda, så blir det intialt 30000^4 vilket är blygsamma 810,000,000,000,000,000 kombinationer. Men släng på att du chansar på att begynnelsebokstaven i varje ord kan vara stor, men kanske inte på alla ord, så måste du testa varje kombination med stor/liten bokstav på varje av de fyra orden, dvs antalet unika ord blir istället 30,000*2*4 = 240,000, som vi tar upphöjt till 4 för vi tror det är fyra ord. 3,317,760,000,000,000,000,000 kombinationer. Vilket är tio gånger så många kombinationer som att använda ett 12 bokstäver långt lösenord som de påstår tar 24 år att knäcka, men är enklare att komma ihåg än 12 a-zA-Z i kombination. Och det förutsätter att de fyra orden du valt finns med i deras dictionary på 30,000ord. Har du valt ett ovanligt ord eller medvetet eller omedvetet felstavat ett ord eller kanske ett namn mitt i det hela eller bara har med en enda siffra så skiter det sig.
Mao, fyra random vanliga ord, som är mycket lättare för människan att komma ihåg, är redan det bättre 12 bokstäver, men väljer du något smartare ord så failar dictionary hacket helt och de får istället köra bruteforce. Meddellängden på engelska ord är 4,7 tecken så 4*4,7=18,8 = ~19 tecken. Så ett par miljarder år att bruteforce knäcka istället. Så nej, du har fel. Fyra ord duger mer än väl, men det viktigaste av allt är att inte återanvända lösenord.