Kannattaa nyt ymmärtää, että tässä on kyse kahdesta erilaisesta viiveestä, joita ei voi yhdistää. Palvelut (ainakin toivottavasti) tallettavat salasanat sellaisessa muodossa, josta niiden sisältöä ei voida selvittää kokeilematta kaikkia erilaisia vaihtoehtoja. Tätä muotoa kutsutaan
tiivisteeksi. Jos palveluun murtaudutaan, sieltä voidaan mahdollisesti hakea käyttäjien salasanojen tiivisteitä. Jos salasana on helppo, se voidaan selvittää vertailemalla tiivisteitä erilaisista salasanoista palvelusta saatuihin tiivisteisiin. Näin voidaan selvittää käyttäjätunnuksien tai sähköpostien ja salasanojen yhdistelmiä, joita voidaan sitten käyttää muiden palvelujen käyttäjätileille murtautumiseen, mikäli niissä käytetään samoja salasanoja.
Tuo tiivisteen laskeminen vie jonkin verran konetehoa, ja vaikka sitä voikin kasvattaa lisäämällä tiivistefunktion monimutkaisuutta, laskemalla rinnakkain tuhansia tai vieläkin useampia tiivisteitä hyökkääjä saa keskimääräisen ajan joka tapauksessa hyvin alas. Tuo sama tiiviste on laskettava aina palveluun kirjautuessa ja hyvin monimutkainen tiivistefunktio olisi myös käyttäjän näkökulmasta epäkäytännöllinen, koska jokainen kirjautumisyritys veisi kauan. Koska hyökkääjän täytyy joka tapauksessa kokeilla kaikkia mahdollisia yhdistelmiä löytääkseen oikean tiivisteen, salasanan monimutkaisuuden kasvattaminen on hyödyllisempää. Hyökkääjä ei tiedä osuneensa oikeaan ennen kuin tiiviste (ja siten kokeiltu salasana) täsmää täysin murtautumilla löydettyyn tiivisteeseen. Tuota monimutkaisuuden lisäämistä voi ajatella niin, että kun lisää salasanaan yhden kirjaimen vaihtoehdot mahdolliseksi salasanaksi 29-kertaistuvat, koska kirjaimia on 29 erilaista. Jos taas lisää (pienten) kirjainten rinnalle numeron, niin ikään kuin kasvattaa jokaisen merkin mahdollisia vaihtoehtoja kymmenellä (numeroita on kymmenen). Isoilla kirjaimilla ja erikoismerkeillä on vastaava vaikutus. Tätä kompleksisuutta kuvataan tuolla security.org:n laskurilla. Noihin absoluuttisiin aikoihin ei kannata kovinkaan tarkkaan tuijottaa, koska hyökääjällähän voisi teoriassa olla vaikka kuinka monta tietokonetta, jolla laskea noita salasanoja rinnakkain (esim. vuokrapalvelimia tai bottiverkko).
Tuo toinen mainitsemasi viive liittyy ainoastaan palvelun toteutukseen. Palvelun kehittäjä on voinut vähentää tileihin kohdistuvia murtautumisyrityksiä rajoittamalla mahdollisia kirjautumisyrityksiä. Jos salasana on väärin, voidaan olettaa ettei sitä syöttänyt palvelun oikea käyttäjä vaan kirjautumista yrittää joku muu, jolloin häntä ei ole syytä päästää kirjautumaan. Jos kyse oli kuitenkin vain väärinkirjoitetusta salasanasta, niin käyttäjää ei ole lukittu kokonaan pois ja hän voi yrittää hetken päästä uudestaan. Tällä ei ole mitään tekemistä tiivisteiden tai salasanan monimutkaisuuden kanssa.
Yksinkertaistin tässä vähän joitakin asioita, mutta tästä saanee yleiskuvan. Yksi näkökulma, jota en maininnut on sanakirjahyökkäykset eli satunnaisennäköisten salasanojen sijasta kokeillaan laskea tiivisteitä sanakirjasta löytyville salasanoille. Koska näitä sanoja on verrattain vähän, palveluissa ei kannata käyttää sanakirjasta löytyviä sanoja. Ei edes lisättynä parilla hassulla numerolla, sillä se ei monimutkaista arvausprosessia tarpeeksi.
