由于我觉得Mac中的密码不可能遭受远程攻击（唯一可能的就是被同一台Mac上的其他用户攻击），所以似乎密码不用设得很长。那么，被本机上的其他用户攻击可不可能呢？

假设，有一个用户Alice，有一个攻击者叫Bob。Alice和Bob在这台Mac上分别有一个用户名，都是标准用户（非管理员）。 Bob登录后，在bash中，输入如下命令，频繁猜测Alice的密码：

su Alice

su的暴力攻击速度很慢，需要手工输入密码，没法用脚本自动循环尝试。如果他是管理员，可以用sudo -S -u <user>命令，将密码表示在stdin中，从而使自动攻击的脚本能被做出来。但他不是管理员，不能用sudo，只能用su，而su似乎是不支持把密码包含在参数中的，所以，一切似乎很完美。。。

我算算，如果我密码5位，只用小写字母和数字，那么有60466176种可能。攻击者1秒钟输入一次密码不睡觉，算下来要700天才能破解，似乎强度还可以。

但我不知道，我的这个观点有什么破绽没？su真的只能手动输入密码吗？除了su，有没有别的方法也能用来登录，且能绕开手动输入密码的机制（在非管理员用户下），从而使5位密码变得不安全？