To si jenom myslíš. Dvacetiznakové heslo složené jenom z písmen (resp. slov, která dávají smysl) se dá prolomit znatelně rychleji, než heslo, které obsahuje i speciální znaky.
Nez ake heslo? 20 znakove heslo zlozene len z pismen prelomis pri offline utoku na lepsom GPU cca za 7,6e7 nasobok veku vesmiru. (~1e18 rokov).
Heslo zo 4 slov, co davaju zmysel (vyber 4 slov z Oxford English Dictionary, rychlo som to nevedel spocitat lepsie): 25876 rokov. A to je stale offline utok pri 2.8mld pokusoch za sekundu; nepocitam s tym, ze niekto moze medzi slovami pouzit / nepouzit medzeru, zacat kazde slovo velkym pismenom a pod. V realnom zivote by to bolo teda radovo horsie uz preto, lebo sa nezvlada bruteforcovat takou rychlostou.
Ak pridame cisla a specialne znaky, tak sme na urovni 20 pismenoveho hesla niekde u 16.5 znaku. To nie je take velke zlepsenie, ak to nie je dobre zapamatatelne.
Inak k flamu tady: Presuvanie na iny port nema vyznam - kazdy aspon trochu schopnejsi bot oskenuje porty. Single packet authorization a port knocking je rozumna alternativa. Nevidim dovod, preco by mal moj SSH port vidiet cely svet.
A vobec nechapem, preco by som mal mat povolene prihlasenie pomocou hesla.
Vyznam port knockingu je hlavne ten, ze nie kazdy sa dostane na take miesto, aby to mohol odpocuvat. A ak sa tam dostane, tak su tu stale dalsie ochranne mechanizmy, totiz tie od samotneho SSH (a medzi tym mi pride SMS, ze sa niekto prihlasuje k serveru a ja spravim opravu).