pořád čtu, že lepší než složité komplexní heslo je lepší correcthorsebatterystaple.
No matematicky asi ano, ale copak si s tím druhým neporadí jednoduše slovníkový útok?
U hesel vždycky porovnáváte, kolik je možných variant hesla vytvořeného podle daných pravidel. Když budete počítat s tím, že heslo je jedno české slovo napsané malými písmeny, vybíráte heslo ze slovníku dejme tomu 100 000 českých slov (nemá smysl řešit, zda to bude o pár desítek tisíc víc nebo míň, protože je to stejně zoufale málo).
Když budete počítat, že heslo je náhodně vytvořené, obsahuje jen malá písmena anglické abecedy (tj. 26 znaků) a má 8 písmen, je to 26
8, tj. nějakých 200 miliard možností (200×10
9 plus nějaké drobné). Když budete počítat stejně dlouhé heslo s malými a velkými písmeny anglické abecedy a číslicemi (tj. 2×26 + 10 = 62 znaků), je to 62
8, tj.něco přes 200 bilionů kombinací (200×10
12 plus nějaké drobné).
Když si to spočítáte pro ta čtyři slovníková hesla (se slovníkem o 100 tisíci slov), je to 100 000
4, tj. 10
20. Stejného počtu variant dosáhnete se 14znakovým heslem složeným z 26 malých písmen anglické abecedy, nebo s 12znakovým heslem z 62 znaků. A nebo když přidáte k těm malým a velkým písmenům a číslicím ještě deset symbolů, bude vám stačit 11 znakové heslo.
Takže jednoduše si s tím slovníkový útok neporadí, ale žádné terno takové heslo ze čtyř slov také není. Navíc na spoustě míst je délka hesla omezená, a někdy o tom ani nemusíte vědět, takže si budete myslet, jak silné máte heslo, a přitom se použije třeba jen prvních osm znaků, takže jeden a půl slova. Psaní tak dlouhého hesla je také nepohodlné a je tam větší pravděpodobnost překlepu. A pak je tu samozřejmě možnost, že vám někdo bude koukat pod prsty, a slova z toho hesla (alespoň přibližně) pozná.
Každopádně komplexních hesel potřebujete spoustu, takže zapamatovat si čtyři slova vám nepomůže. Takže stejně potřebujete nějakého správce hesel, a ten si náhodně vytvořená hesla s číslicemi a symboly zapamatuje bez problémů.