Ein langes Kennwort ist nur die Hälfte der Sicherheit. Was passiert in der Software mit dem Kennwort? Bei einem 256Bit AES Schlüssel werden 300 Byte Kennwort genausogroß, wie ein 12 Stelliges, nämlich 256Bit. Also irgendwann ist es gut, bzw. die Länge bringt, außer ständiger Tippfehler, nichts mehr. Bei RC4 kann das schon anders sein. Also lohnt ein Blick, was eigentlich die Software mit dem Kennwort schlussendlich tut, um wie bei OpenSSL daraus den Bitschlüssel zu bilden. Bei AES wird ein 12stelliges gutes Kennwort reichen. Soll die Sicherheit erhöht werden, so müssen die Daten mit verschiedenen Schlüsseln immer wieder verschlüsselt werden. Also AES dann, Blowfish und nochmal drüber 3DES sei als ein Beispiel genannt. Dabei sollte für den Angreifer unbekannt bleiben in welcher Reihenfolge das erfolgt ist (Das muss sich der Erzeuger dennoch umbedingt merken!) und dazu sollten die drei Schlüssel an unterschiedlichen Orten aufbewahrt werden. Am Ende den Haufen Cryptodaten zur Verifizierung signieren oder per MD5 die Datenintegrität prüfbar machen. Das Kaskadieren von Verschlüsselungsalgorithmen schafft bei der Entschüsselung oft echte Kopfschmerzen.