Не секрет, что большинство людей используют пароли, которые не отличаются высокой стойкостью ко взлому. Это словарные пароли, которые состоят из общеупотребительных слов или словосочетаний. Это легендарные клавиатурные комбинации qwerty, 12345, asdfg и другие. Это общеупотребительные русские слова, набранные в другой раскладке (например, пароль = gfhjkm и т.д.).
В большей степени взломостойкость пароля зависит не от его сложности, а от системы авторизации. Другими словами, пароль zaika88 более надёжен чем Z@!kABB, если во втором случае мы имеем возможность свободного перебора паролей, а в первом получаем задержку между попытками ввода, пропорциональную количеству неудачных попыток. Но пароль zaika88 значительно проще подобрать, чем Z@!kABB при равных скоростях подбора.
Apple ID требует (требовал несколько лет назад точно) создать пароль с обязательным использованием спецсимволов, наличием цифр и заглавных букв. Я начал размышлять над сложностью паролей, которые используются в AppleID.
— Вероятнее всего заглавная буква будет использована в самом начале пароля. Маловероятно, что она будет использована где-либо ещё (за исключением 8 = B). Мы привыкли писать новые предложения с большой буквы, поэтому если нам предложат создать пароль хотя бы с одной большой буквой, мы разместим её в самом начале.
— Спецсимвол, в отсутствие альтернатив, скорее всего будет добавлен в самом конце пароля. Но обычно спецсимволами заменяют некоторые буквы: i = !, a = @, s = $. Знаки теперь используются разные, но сами буквы визуально похожи. Да и алгоритм замены вполне понятен, так что это не сильно затягивает процесс взлома.
— Обязательные цифры в большинстве случаев будут заменять похожие буквы: o = 0, b = 8, t = 7, 1 = i, 9 = g. Снова та самая визуальная «похожесть» знаков. Цифры можно добавить в конце слова, но это совсем уж детский сад.
— Скорее всего такие требования к паролю (а Apple постоянно говорит, что ещё нужно добавить в пароль), приведут к тому, что пользователь будет шифровать подобными методами самые очевидные слова.
Какая собственно разница между Barcelona и Barcel0n@. Разница в том, что второй пароль принимается яблочным сервисом, так как отвечает всем «требованиям» о сложности пароля. Но, тем не менее, это всё то же словарное слово. И таких «подтасовок» лучше избегать.
Подпись к картинке гласит: «Сложные пароли должны состоять не менее чем из восьми символов и включать в себя заглавные и строчные буквы, цифры, специальные символы». Причём из всех повторяющихся строк самая нижняя не очень-то отличается от оригинала. Шифровать слова таким методом сегодня точно не стоит.
Это стоило делать в эпоху BBS, когда компьютеры были большими, а скорости передачи данных — маленькими. К слову, вот эта самая «замена» называется «leet», на Википедии есть подробная статья, но можно просто ознакомиться со списком слов. Сегодня, когда мощь компьютеров и скорость передачи данных выросли в сотни раз (и я не шучу), такие «сложные пароли» вскрываются на раз-два. Здесь гарантируют это!