「AppleIDに登録してあった21桁のパスワードが突破されました」より
これ,桁の問題じゃなくて単純にパスワードが漏洩したか「覚えやすいパスワード」だったんじゃないのかなぁ。
人間が「覚えやすいパスワード」ってのは裏を返せば機械が解読しやすいパスワードってこと。
英数字62種をランダムに16文字並べたパスワードを総当たり攻撃で解く場合の計算量は 2^95.3 ほどだそうで,これを1日で解く場合のコストは129,000京円程だと言われている(IPA の資料より)。 更に20桁以上ならその計算量は指数関数的に跳ね上がる。
要するにちゃんとした「覚えにくい」パスワードなら単純に力技で解読するのは無理ってことだ。
「覚えやすいパスワード」でないのなら,ありそうなのは利用している PC または携帯端末のどれかに malware が仕込まれていてパスワード入力を傍受されている可能性である。
そもそもセレブ・アカウントや機密情報を持ってる人のアカウントでもない限り,不特定小市民のアカウントをわざわざコストをかけて解読するインセンティブはない。
あらかじめパスワードを知っているか辞書攻撃(あるいはそのバリエーション)など低コストで解読できる程度のアカウントしか用はない筈である。
まぁ何にしても2要素認証は大事ってことで。
あと,いつも言っているように「パスワードを覚えるのは脳みその無駄遣い」である。
信頼できるパスワード管理ツールを使いましょう。