4. L'attaque systématique est possible mais parfois irréaliste

Si l'attaque par dictionnaire échoue après quelques dizaines d'heures de recherche, il est possible de passer à la méthode systématique. Le principe devient très consommateur de ressources. Les différentes possibilités de l'alphabet retenu sont toutes testées. Les chaînes sont toutes construites. Elles sont codées une à une selon le format du système visé et comparées au mot de passe de la victime. L'attaque aboutira à coup sûr, mais peut être dans un temps déraisonnable de plusieurs mois, voire de plusieurs milliers d'années.

Les performances, et donc les temps de calculs, varient énormément d'une machine à l'autre et en fonctions des algorithmes de cryptage, mais on peut estimer qu'une bonne machine calculera plusieurs centaines de milliers de combinaisons par secondes. Ainsi, un mot de passe numérique de 4 chiffres est cassé en une fraction de seconde. Le même mot de passe utilisant une combinaison de 4 caractères, mais avec un jeu 74 codes, sera cassé à coup sûr en quelques minutes. Si on impose un mot de passe de 8 caractères avec un alphabet de 200 caractères utilisables, la durée maximale de décodage peut approcher plusieurs dizaines d'années ! La longueur du mot de passe et le nombre de caractères utilisées sont les deux paramètres clés pour savoir un mot de passe est fort ou non. Attention toutefois, il ne s'agit que de mesures probabilistes. La probabilité que l'on trouve le bon mot de passe du premier coup devient de plus en plus faible, mais n'est jamais mathématiquement nulle.