Seit kurzem geistern ständig irgendwo die Meldungen, dass heutige Systeme so schnell sein Passwörter mit X (x abhängig von der Meldung) per brute force zu knacken und man doch bitte die Passwort-Länge vergrößern soll, mindestens 16 Zeichen oder so.
Kann mir jemand erklären warum? Zwei Szenarien:
1.) Ein Bot prüft alle Kombinationen durch und versucht sich damit anzumelden. Da ist die Rechenleistung irrelvant, auch die Passwordlänger nicht sonderlich - da würden vermutlich auch 8 oder weniger Zeichen ausreichen, das Bot schaft das nie alle durchzuprobieren, die Authentifizierungsversuche dauern zu lange.
2.) Die Password-Datenbank wird geklaut. Ich gehe mal davon aus, dass diese verschlüsselt/hashed ist, ansonsten ist die Password-Länge sowieso irrelevant wenn die PWs im Klartext vorliegen.
In dem Fall: Zum einen hat ein Angreifer, der irgendwie an die PW-Datenbank kam, oft sowieso erhöhte Rechte, weshalb er sowieso auf dem System herumspuken und sich als der User ausgeben kann, da spielt die Passwordsicherheit auch nur noch eine geringe Rolle
Zum anderen: Selbst wenn es gelingt die PW-Datenbank zu entschlüsseln, gilt dieses PW doch nur für das eine System?
Das Problem ist doch nur dann gegeben wenn genau das gleiche Passwort auf veschiedenen Systemen/Sites verwendet wird, und um das zu verhindern ist die Antwort doch eher statt die Password-Länge als Allheilmittel zu preisen: Pro System/Site ein eigenes Password. Und natürlich 2FA.
Zugegeben, meine vom PW-Manager generierte Passwörter sind lang, mindestens 24 Zeichen. Das hat aber auch den Sinn zu prüfen wie es die Site mit der Sicherheit hält: Wenn - und sowas gibt es leider nicht zu selten - eine Site eine maximale Länge von Passwörtern vorschreibt. dann ist da irgendwas faul bzw. sie nehmen es mit Sicherheit so genau.
