O conjunto de caracteres disponíveis inclui 26 letras maiúsculas, 26 letras minúsculas e 10 dígitos. Também inclui uma coleção de caracteres especiais que podem variar de produto para produto. Para simplificar, digamos que haja 18 caracteres especiais disponíveis. Isso perfaz um total de 80 caracteres para escolher. Em uma senha totalmente aleatória, existem 80 possibilidades para cada personagem. Se você escolher uma senha de oito caracteres, o número de possibilidades é de 80 elevado à oitava potência, ou 1.677.721.600.000.000 – mais de um quatrilhão. É um trabalho árduo para um ataque de quebra de força bruta , e adivinhar por força bruta é realmente a única maneira de quebrar uma senha verdadeiramente aleatória.
Claro, um gerador totalmente aleatório acabará por produzir “aaaaaaaa” e “Covfefe!” e “12345678”, uma vez que são tão prováveis quanto qualquer outra sequência de oito caracteres. Alguns geradores de senha filtram ativamente sua saída para evitar tais senhas. Tudo bem, mas se um hacker sabe sobre esses filtros, isso reduz o número de possibilidades e torna mais fácil o cracking por força bruta.
Aqui está um exemplo extremo. Existem 40.960.000 senhas de quatro caracteres possíveis, tiradas de uma coleção de 80 caracteres. Mas alguns geradores de senha forçam a seleção de pelo menos um de cada tipo de caractere, e isso reduz drasticamente as possibilidades. Ainda existem 80 possibilidades para o primeiro personagem. Suponha que seja uma letra maiúscula; o pool para o segundo caractere é 54 (80 menos os 26 caracteres maiúsculos). Além disso, suponha que o segundo caractere seja uma letra minúscula. Para o terceiro caractere, apenas dígitos e caracteres especiais permanecem, para 28 opções. E se o terceiro caractere for pontuação, o último deve ser um dígito, 10 opções. Nossas 40 milhões de possibilidades diminuem para 1.209.600.
O uso de todos os conjuntos de caracteres é uma necessidade para muitos sites. Para evitar que esse requisito diminua seu conjunto de senhas, defina o comprimento da senha alto. Quando a senha é longa o suficiente, o efeito de forçar todos os tipos de caracteres torna-se insignificante.
O LastPass e vários outros têm como padrão evitar pares de caracteres ambíguos, como o dígito 0 e a letra O. Quando você não precisa se lembrar da senha, isso não é necessário; desative esta opção. Da mesma forma, não escolha a opção de gerar uma senha pronunciável como “entlestmospa”. Essa opção só é importante se for uma senha que você deve lembrar. A aplicação desta opção não limita você apenas a caracteres minúsculos, mas rejeita o grande número de possibilidades que o gerador de senha considera impronunciável.