Когда пользователи забывают свои пароли, они могут сбросить их (на большинстве веб-сайтов). Они делают это, получая электронное письмо с токеном сброса, а затем используя его для установки нового пароля. Срок действия этого токена обычно истекает через некоторое время для защиты от угадывания.
Допустим, токен 256-битный. Брутфорс с большим количеством суперкомпьютеров по-прежнему занимает (очень приблизительно) 10 ^ 50 лет. т.е. это невозможно сделать с текущими знаниями, определенно не в течение 1 часа (обычное время истечения). Теперь вопрос: почему мы вообще защищаемся от угадывания?