( SzBlackY | 2020. 02. 22., szo – 21:23 )

És az kb. tökmindegy, hogy 5000^4 vagy 5001^4.

Csakhogy nem ennyi lesz a különbség, hanem (5001^3-1)^4 (5000 szótári alap szóból előállítható 5001^3 különböző legfeljebb hármas szóösszetétel, és ezekből veszel 4-et [a -1 az, hogy kivettük az (üres;üres;üres) szóösszetételt]).

hétköznapi szó erősebb lesz, mint egy near-garbage password

Definiáld hétköznapi. Ha a passphrase egy értelmes mondat mondjuk egy szűk szavú 5000-es szótárból, akkor már ott tartunk, hogy valahol (5001^3-1)^4*2^15 kombinációt kellene végigpróbálnod az 5000-es szótárból (erősen alul becsült, mert a szóösszetételek tagjai is lehetnek toldalékolt alakok! - például az XKCD-s jelszó magyarra átfordítható korrekt lóakkumuláló-tűző-re, ami technikailag még csak két szó, az összetett szóban pedig kettő is ragozott toldalékolt alak [igen, ezért fordítottam a battery akkumulátor helyett a magyar toldalékolásnak megfelelő akkumuláló-ra ;)]).

És közben a 2^15-re még egy megjegyzés: az is masszívan alul van becsülve, pl. a hangrendi illeszkedést sehol nem veszi figyelembe, ahogy az egyéb dolgoktól függő toldalékolást (pl. ikes igék -em vs. -ek), tehát úgyhogy vagy még folyamatosan a képzett szavakat elemzed is, vagy brute force-olva minden lehetséges toldalékot rá kell próbálnod.

Ja, es persze meg ott van annak a kerdese, hogy megfeleloek-e az ekezetek. Legalabb egy ketszeres szorzo a keresesi terben, de az is elofordulhat, hogy csak nehany ekezet hianyzik: ujabb 2^(a jelszoban levo ekezetek szama) ellenorizendo kombinacio minden jelszora. És oké, hogy a legjobban a szavak száma fogja befolyásolni, de azért ezek a szorzók szépen össze tudnak adódni.

És még mindig: EGY olyan toldalék, vagy szótő kell, amit a jelszótörő nem ismer, és máris karakterenkénti brute force-ról beszélünk.

Az XKCD cáfoló cikkben jogos, amit leírnak, de a számok nagyon máshogy néznek ki másik nyelvre ültetve.

BlackY