Az ismétlődő jelszókaraktereket azonnal feltörik, ha megvan az első része? Példa:

Te tudod a jelszót, ezért látod benne a logikát. A brute force módszer viszont minden egyes kombinációt végig kell hogy próbáljon amíg meg nem találja a helyes jelszót. Végig megy az összes 1 karakteres lehetőségen, majd az összes 2 karakeresen, majd az összes három karakteresen egészen addig míg nem sikerül az adott variációval továbbjutni a jelszókérésen.

Már az első "Attila.222" tagnál 9 évet becsül a feltörési időre, amíg az összes variációt végigteszteli egy jelszótörő. A duplázott, kérdésben lévő hosszúság fel sem fogható (100 trillió év, ez 100 x 1 milliárd x 1 milliárd év).

Senki nem is fog vesződni a brute force-olással, mert nincs értelme. Nem is engedik az oldalak, 5-10 darab sikertelen próbálkozás után már letiltják a belépési kísérletet. Ha pedig be van kapcsolva a kétfaktoros hitelesítés, akkor sem tudnak belépni a fiókodba, ha a belépési jelszó nyilvánosságra kerül.

A brute force-os törésnél mindegy mi a 20 karakter, maximum a különleges karakterek számítanak, mert ha úgy van megírva a törőprogram, akkor esetleg néhány extra karakterrel nem is próbálkozik. De van szótáras törés is. Itt a szótárban lévő szavakkal, már valahonnan megszerzett jelszavakkal próbálkozik a program.

De jelszavakat általában nem ezekkel a módszerekkel szokták megszerezni, főleg nem tömegével, legfeljebb egy-egy célzott esetben.

Úgy szoktak jelszavak kikerülni, hogy egy oldal eladja a nála regisztrált felhasználónév (vagy email) és ahhoz tartozó jelszó kombókat tartalmazó adatokat. Mert például megszűnik az oldal és ezzel még utoljára keres egy kis pénzt. Vagy megszerzik tőle valahogyan, legegyszerűbb, ha egy belső ember, aki hozzá tud férni eladja egy kis mellékes jövedelemért. De mindegy is, valahogy kikerül. Ez még nem garancia semmire, de sokszor a felhasználók egyanezt a felhasználónév/jelszó kombót használják más oldalakon is.

Aztán vannak adathalász fake oldalak, amik ugyanúgy néznek ki, mint az eredeti, valahogyan ideirányítják a usereket (pl. emailből lásd fentebb az adatbázis lopást) és beüttetik velük a nevet/jelszót. Illetve levelezőprogramokból csetprogramokból is szedhetik a címeket, amikkel próbálkoznak.

Szóval sok módszer van, de a leghatékonyabb emberi közreműködéssel megszerezni az ilyen információkat. Brute force, meg ilyesmi törésekkel gyakorlatilag senki nem foglalkozik, nem éri meg csak egyes fontos eseteknél.