Jahrhunderte nicht, aber Monate schon, vlt. auch 1 Jahr, selbst mit mehreren GPUs im Verbund. Und die Mühe wird sich keiner machen nur um ein einziges passwort zu ermitteln, vorher wird er andere versuchen und da Erfolg haben. Von daher ist das absolut unnötig es noch länger zu machen, denn mit solchen Passwortlängern dürftest du bei vielen Internetseiten scheitern. Und sicherer bist du auch nicht, da der Schutz vorher schon Top war und nachher auch nur top, denn es gibt Faktoren da bringt das längste Passwort nicht.

Und welche Faktoren wären diese? Nun ich habe verschiedene Passwörter. Wie zum Beispiel im Forum, diese sind aber nicht so lang. Diese 43 Zeichen oder 40 Zeichen, sind nur für hochkarätige Accounts.

Zum Beispiel wie werden die Passwörter gespeichert, also nicht nur ob verschlüsselt oder nicht, letzeres gibt es teils immer noch. Sondern mit welchem Hash-Algorithmus das PW gesichert wird, LinkedIn und einige andere Unternehmen die gehackt wurden haben lange Zeit sehr unsichere Algorithmen genutzt, welche inzwischen relativ leicht geknackt werden können. Dann ist die Frage werden die PWs mit oder ohne Salt gesichert und wenn mit, ob es ein fester Salt für alle PWs ist oder ein individuelles für jedes PW und natürlich wo dies und wie gespeichert wird. Und selbst wenn das alles vorbildlich ist, bleibt noch der Punkt, sobald hacker nicht nur an Daten aus der DB kommen, sondern auch an Teile des Backends und sie somit Insiderwissen bekommen, können sie dies nutzen um den Authentifizierung-Mechanismus nachzubauen. Damit brauchen die nicht mehr die gesicherten PWs knacken, sondern können einfach tausende oder zehntausende von Passwortkombinationen pro Sekunde erzeugen und abgeichen.

Das ist zu hoch für mich. xD

Nimm doch einfach die 40 Zeichen und schreibe dein 43 zeichen pw aus, die letzten 3 buchstaben einfach wieder löschen... Wenn jemand an deine Daten will, dann kommt er auch ran. Und deswegen ist es mir meist egal und ich habe immer das gleiche Passwort. Immer und überall

Zitat: Zitat von apollox Jahrhunderte nicht, aber Monate schon, vlt. auch 1 Jahr, selbst mit mehreren GPUs im Verbund. Ich ging einfach von 10.000 Passwörtern pro Sekunde aus bei 80 möglichen Zeichen (29 Buchstaben jeweils groß und klein, Zahlen, Sonderzeichen). Das wären dann 80^29, also 1.547425e+55 Kombinationen. 10.000 Passwörter pro Sekunde wären 315360000000 Passwörter pro Jahr. Diese beiden Zahlen geteilt ergeben 4.9068526e+43 (Jahre?), weshalb ich einfach Jahre bis Jahrhunderte geschrieben habe Setzt natürlich auch voraus, dass seins als letztes erraten wird.

Gut gerechnet, nur viel zu niedrig angesetzt^^ Zur Verdeutlichung wie schnell das heutzutage gehen kann, wenn man die Passwörter ungenügend schützt, kann man wunderbar das LinkedIn Leck heranziehen. In diesem Leck sind ca. 177 Mio. Passwort-Hashes (gesicherte/verschlüsselte PWs) samt Benutzername/E-Mail veröffentlicht wurden. Innerhalb von 2 Stunden waren bereits rund 2 Drittel der Passwörter mittels GPU-Cluster geknackt, also ca. 120 Mio. Passwörter. ALso selbst wenn man die doppelten PWs rausrechnet wurden immer noch eine 8 stellige Zahl an PWs geknackt. Quelle: LinkedIn-Leck: Mehr als 80 Prozent der Passwörter bereits geknackt | heise Security Ok, hier muss man noch erwähnen das die Passwörter durch einen Algorithmus gescihert, mit welchem man inzwischen in kurzer Zeit sehr viele gesicherte Passwörter erzeugen und vergleichen kann und zuzätzlich waren sie ungesalzen, LinkedIn hat also kein Salt verwendet. Bei einem sog. Salt spricht man davon, das man dem eigentlichen Passwort noch eine zufällige Zeichenkette an bestimmter Stelle zufügt, man "salzt" das Passwort sozusagen nach. Dadurch wird die Sicherheit des Passwortes vor dem "verschlüsseln" erhöht, insbesondere wenn man einen individuellen Salt für jedes Passwort verwendet. Man kann beim sichern von Passwörtern auch nicht wirklich von verschlüsseln sprechen, sondern eigentlich nur von hashen. Eine Verschlüsselung kannst du auch immer entschlüsseln mit dem entsprechenden Key, ein Hash hingegen ist eine Einbahnstraße. Du kannst einen Wert der mittels eines Hash codiert wurde nicht zurückwandeln. Das heißt wenn du dich irgendwo einloggst, wie hier im Forum wird dein eingegebenes Passwort identisch wie bei der Registrierung verarbeitet. Es wird also der entsprechende Hash vom Passwort erzeugt und der wird jedoch nicht in der Datenbank gespeichert, sondern mit dem in der Datenbank gespeicherten Hash verglichen.

Und was heißt das jetzt für mich?

Zitat: Zitat von Tobi2694 Und was heißt das jetzt für mich? Du lebst gefährlich Du brauchst weitaus mehr als 43 Zeichen... Also frag die nochmal und denk dir einen neuen satz aus, dessen anfangsbuchstaben und zahlen dein pw bilden

Ich hätte schon gerne 100 Zeichen.