Queria acrescentar um novo ângulo:
Uma password só de letras maiúsculas e números, de 9 caracteres tem uma força média.
Por exemplo: AC6D6894E
força: média.
Mesmo com 60 caracteres, é média.
Isso é uma ideia totalmente bazarroca, que infelizmente é passada de mão em mão pelos "keygens" que de util têm pouco.
Prende-se com dois pontos completamente diferentes da questão.
De um lado tens o subset de dados da key. Se tens apenas numeros, tens no melhor dos casos 4bits. Com numeros e letras do subset ASCII tens 7bits. Com caracteres tens 8bits. Se for unicode tens 16bits. Isso é o subset. Válido apenas para um caracter.
Do outro tens o comprimento da key. A key vai ter n char * bits do subset.
A pass que dizes "média" de 60chars tem 60*7=420bits. Não hardcore, mas nem por isso trivial.
O que deviam dizer ao pessoal, é que basta usar um caracter não alfanumerico e uma password grande. Ao usares um char não an aumentas automaticamente o subset para 8b. No caso de 60c, tinhas automagicamente não 420b mas 480b e o keyfinder não podia limitar a pesquisa ao subset de 7b mas tinha forçosamente de usar o subset de 8b.
O que o ppl tem de se lembrar em termos de keys
fortes é que a força da key depende do subset, do comprimento e da não trivialidade.
A não trivialidade poupa-te aos "ataques de dicionário". E não pensem que os ad se ficam por ataques tipo "tentar as palavras todas". Já de à uns bons tempos que atacam combinações até n palavras (n definido pelo user...) com as suas permutações, separadas com caracteres definidos pelo user (_-., etc...) e muito mais. Por muito que demorem demoram umas quantas magnitudes menos que um bruteforcing.
A infelicidade da coisa vem do facto de a maioria das coisas online te restringir a uns miseros 16c e 8b, os famigerados 128b. Os unicos que parecem gostar disso são os users preguiçosos que não gostam de keys decentes e a NSA que acha que afinal "crypto for the people" não é assim tão mau pq o "people" nunca se deu ao trabalho de a usar...
Ah well, back OT, só vem mostrar que meter os ovos todos no mesmo cesto não só sempre foi má ideia como continua a ser. Se se usa sempre a mesma pass, à primeira queda perde-se tudo...
Oh, btw, não usem
nunca mas mesmo nunca keys que possam ser "derivadas" de coisas pessoais. Engenharia social demora 10x menos a "encontrar" essas keys que o melhor dos keyfinders. Se gostam de Metal, usem Z_C.br4.
E nos sition onde tenham de meter "respostas de recuperação" façam um favor a vcs mesmos. Não dêm respostas triviais. Se a pergunta for "Actor Preferido" usem qualquer coisa do tipo "O meu canário". Responder com seriedade é dar o outro ao bandido, c's sake...