Při vytváření uživatelského účtu v počítači nebo u nějaké služby je jistě důležité si zvolit dostatečně silné heslo (o tom jsem ostatně psal, jak z pohledu uživatele, tak z pohledu programátora). Jenže, co je „dostatečně silné heslo“ závisí i na tom k čemu ten účet slouží.

Například e-mailový účet může být „hlavní adresa“, kde budou časem citlivé a důležité údaje a bezpečnost je velmi na místě, nebo účet zřízení jen kvůli registraci někam kam nechcete zadávat tu hlavní adresu. Pak jsou samozřejmě nároky na bezpečnost úplně jinde.

Paradoxně je někdy slabé heslo bezpečnější. Větší problém než potenciální „uhodnutí“ hesla (to se, hlavně na webu, děje málokdy) je totiž používání téhož hesla všude (vtipně podáno zde). Hacker napadne nějakou nedůležitou špatně zabezpečenou službu (nebo dokonce služba sama je jen zástěrka) a stejné přihlašovací údaje pak použije pro ty důležité. Přitom většina lidí nedokáže vytvořit a pamatovat si větší počet silných hesel. Pak je lepší, když ta silná hesla používají pro kritické služby a nikde jinde. Mít pro kritické věci silná hesla (nejlépe různá) a slabá snadno zapamatovatelná hesla pro ty vedlejší je bezpečnější, než mít jedno velmi silné heslo a používat ho všude.

Potíž je, že provozovatelé webů to často vidí jinak. Přece ta jejich služba je nejdůležitější, takže uživatel musí mít to nejsilnější možné heslo. Podle mého názoru to je hloupá strategie. Uživatel by měl být upozorněn že zadává slabé heslo, ale přesto by mu mělo být nakonec umožněno takové heslo mít. Navíc ty požadavky jsou často přehnané. Podle mého názoru kombinovat velká a malá písmena, číslice a symboly sice teoreticky mnohonásobně zvyšuje počet kombinací, ale protože málokdo bude útočit na heslo hrubou silou, bude prakticky heslo třeba „qqqqqqqqq“ na podobné úrovni bezpečnosti jako hesla splňující všechny ty požadavky.