Брутфорс сеансов

Насколько возможно использовать сеансы грубой силы?

В настоящее время я использую CodeIgniter сеансы базы данных, в которых не используются собственные сеансы PHP - включено шифрование файлов cookie сеанса и сопоставление пользовательских агентов.

Скажем, я установил срок действия сеанса на 4 месяца, сможет ли кто-нибудь подобрать себе путь через идентификаторы сеансов? Не только для захвата сеансов, но и для массового удаления вещей из учетных записей, причинения общего хаоса и т. Д. (Включена защита CSRF CI)

. Я хотел бы дать большинству пользователей длительный идентификатор сеанса, в котором анонимным пользователям предоставляется большая часть функционал зарегистрированного пользователя, вроде любимых вещей - аналогично StackOverflow.