Odpověď na názor

Pokud by se heslo generovalo z malých a velkých písmen a číslic a mělo délku až čtyřicet znaků, a útočník by přesně s tímto algoritmem počítal, bylo by jedno, že mi to náhodou vygenerovalo jednoznakové heslo. V praxi je ale potřeba počítat s tím, že útočník bude naivní a bude hesla zkoušet od nejjednodušších, takže praktický algoritmus je „použít silný algoritmus pro vytváření hesel a pak ověřit, že algoritmus náhodou nevytvořil heslo, které by mohlo být produktem slabého algoritmu“. Což se v praxi obvykle řeší tak, že algoritmus prostě negeneruje hesla o maximální délce n znaků, ale o přesné dílce n znaků. Čímž se sice množina možných hesel výrazně zmenší, zároveň s tím se ale vyloučí ta hesla generovaná slabými algoritmy.

Algoritmy na kontrolu síly hesla ověřují právě to, zda heslo nemůže být produktem slabého algoritmu. To, že by takové heslo mohlo být i produktem silného algoritmu, na to nic nemění, protože útočníci budu zkoušet právě ty produkty slabých algoritmů.

Akorát je hloupé, když jen naivní ten algoritmus na kontrolu síly hesel – a třeba za každou chybějící skupiny znaků strhává body. Takže 32znakové heslo z malých a velkých písmen a číslic označí za slabé, protože tam chybí speciální znak.