Warum haben viele Passwörter nur eine beschränkte Länge?
Viele Webseiten erlauben nur eine Kennwortlänge von etwa 16 Zeichen. PayPal ist eins davon. Und gerade da sollte ein Passwort verdammt schwer zu knacken sein. Wieso wird sowas begrenzt?
5 Antworten
Weil ein sehr langes Passwort nicht unbedingt in Korrelation zur Sicherheit steht.
Was nutzt ein langes und sehr komplexes Kennwort, wenn man es sich dann irgendwo aufschreiben muss?
Wenn dann alle nur noch mittels Passwortmanager ihre Passwörter verwalten könnten wird der Passwortmanager zum schwächsten Glied in der Kette.
Außerdem gibt es andere und bessere Techniken um Zugänge zu schützen:
- MFA
- Begrenzung der Falscheingaben auf eine bestimmte Anzahl.
- Gesalzene Passwörter in der Datenbank
und noch vieles mehr
Alles kann geknackt werden und Passwortmanger stehen gerade sowas von im Fokus von Hackern das es nur eine Frage der Zeit ist bis sie die Hintertür gefunden haben.
Normaler.Weise wird aus den Kennwörtern der Anwender ein HASH erstellt. Dabei handelt es sich um eine Verschlüsselung die nur in eine Richtung funktioniert.
Dieser HASH wird in der Benutzerdatenbank gespeichert man kann aus dem HASH aber nicht ohne weiteres auf das Kennwort schließen.
Also wird bei jeder Kennworteingabe des Anwenders der HASH-Algoritmus neu angewendet und das Ergebnis mit dem in der Benutzerdatenbank gespeicherten HASH-Wert verglichen.
Nun sind diese HASH-Algorithmen aber nicht zu 100 % sicher.
Ein Hacker der in den Besitz der Benutzerdatenbank gelangt könnte aus den HASH-Werten zumindest teilweise die Kennwörter rekonstruieren.
Wenn man jedoch dem Kennwort vor der Verarbeitung zu einem HASH etwas hinzufügt das der Hacker nicht kennt, dann wird die Extraktion von Kennwörtern nahezu unmöglich.
Das volle Potential erreicht man mit gesalzenen Kennwörtern, wenn man vom standard 32 bit HASH auf einen 64 bit HASH wechselt.
Das wusste ich natürlich. Wollte nur sehen ob du es auch weißt.
Speicherplatz. Wenn das Passwort 16 Unicode Zeichen hat, also 32 Bytes, kann man genau sagen, für Speicherung von 16 Passwörtern braucht man 512 Bytes. Nun stell dir vor, die hätten beliebige Länge, etwa 1 MB. Damit könnte man ein Pufferüberlauf erzwingen und schadcode einschleusen
https://www.archimedes-lab.org/memorizing_numbers.html
Hier heißt es:
"The average person can hold a set of about 7 digits in his/her working memory at any given time."
Während also Computer über ein fast unbegrenztes Memory verfügen und mehr als 16 Chaktare speichern können, können Menschen das nicht...
Vielleicht weil sie als Hash umgewandelt werden und je kürzer, desto besser für die Datenbank:)
Der erzeugte HASH-Wert ist immer gleich lang, egal wie lang das ursprüngliche Kennwort mal war.
Weil ein Passwort mit 16 Stellen "verdammt schwer" zu knacken ist, um mal bei deinen Worten zu bleiben.
Bei der Nutzung von allen Zeichen, Groß- Kleinschreibung etc. würde es mit heutigen Mitteln über 11353738300 Jahre dauern.
Erstaunlich dass es so lange dauern wird. Hört sich meiner Meinung nach zu viel an. Was ist mit "heutigen" Mitteln gemeint?
Genau genommen ist die Anzahl der Möglichkeiten durch die Länge und Komplexität des aus dem erzeugten HASH-Wert begrenzt.
Macht aber nichts, weil ein schlauer Programmierer die Anzahl der möglichen Falscheingaben begrenzen würde.
Die Hacker wissen das natürlich auch und haben sich angepasst in dem sie vermehrt auf Phishing statt Brute Force setzen.
Passwort Manager können nicht geknackt werden.