Защита считается достаточной, если на её преодоление средний злоумышленник тратит больше ресурсов, чем получает в результате успешной атаки.
Злохакеры научились "обманывать" этот закон. При помощи массовости. Себестоимость атаки можно сильно опустить, если сделать её массовой. Стоимость посягательства складывается из двух частей: (1) разработки методики и инструментария для атаки и (2) атаки конкретного объекта. Первая компонента делитсяна число потенциальных жертв и таким образом может быть снижена до уровня плинтуса.
Наш брат-информзащитник, стараясь повысить затраты атакующего, идёт двумя путями. Во-первых, он, по возможности, уходит от массовых продуктов, избегая таким образом и массовых уязвимостей. Этим он повышает стоимость первой компоненты атаки. Во вторых, он старается сделать невозможным чисто автоматическое проникновение, повышая таким способом вторую компоненту.
Например, та же капча . Она требует индивидуального действия на каждый акт сетевого взаимодействия и таким образом делает издержки злоумышленника пропорциональнымичислу атакуемых целей. Ладно, пытается сделать.
Как видно, построение эффективной защиты требует знаний в области экономики. Особенно – экономики чёрного рынка.