Herrmann schrieb:
Also wenn ich ne Buchseite die Anfangsbuchstaben immer nehme und die Satzzeichen ist es am Ende sicherer als was wie "DZ¸¤Áõþøñ÷" nehme? "DIMOCHJHQO" gegen "DZ¸¤Áõþøñ÷" = unentschieden? (da beide 10 Stellig)
Nein, beim ersten Fall wäre die anzunehmende Zeichenraumgröße 26, die Länge beträgt 10 - ergo 26^10 Möglichkeiten. Bei Letzterem bekommst du durch die massig vielen Sonderzeichen allein ne viel größere Raumgröße hin. Bzw. wenn du dies hier als Alphabet vom Französischen oder Spanischen abtust, gäbe es hier ne Größe von 26 + x. Wobei x dann eben die Umlaute wären und da auch ein â, á, à, ê, é, è usw. mit rein fällt.
Ein 10-stelliges Passwort nur aus Zahlen hat ne Komplexität von 10^10. Bestehend aus Buchstaben, sind dies 26^10. Ist natürlich klar, was hier eher geknackt werden würde. 26^10 ergibt ~ 1,41e14 Kombinationen, ein 15 stelliges Passwort nur aus Zahlen allerdings 1e15 Kombinationen. Ergo ist das Passwort nur aus Zahlen mit nem weit geringerem Zeichenraum schwerer zu knacken, als ein Passwort mit größeren Zeichenraum, weil sich einfach die Anzahl der unterschiedlichen Kombinationen drastisch verändert und prinzipiell rein über die Länge wachsen kann. Du könntest hierbei auch binär 0 und 1 verwenden und bei 50 Zeichen, bist du bei der Komplexität über beiden anderen Varianten. Lange Passwörter kann man sich aber evtl. schwer merken, also muss hier abgewägt werden.
Wie gesagt: alles viel zu theoretisch. Praktisch ist es vollkommen Schnuppe, denn wenn der Hash Algorithmus gebrochen wurde (und sei es nur, dass durch Kollisionen viele Versuche überflüssig wären), hast du keinerlei Chance, dass irgendwas sicher ist. Praktisch wird dir aber eher jemand einen Trojaner oder Keylogger unterschieben und das Passwort mitschneiden oder klaut dir deine Session, weil die Seite schlecht gebaut ist oder den Traffic mitschneiden. Ganz doof gestellt: jemand schaut dir beim Tippen über die Schulter. Solche Sachen sind viel wahrscheinlicher, als dass ein Passwort durch simples Ausprobieren oder durch einen Angriff auf den Algorithmus geknackt wird. Das schwächste Glied in der Kette ist zum größten Teil immer der Nutzer.
Zumal die Absicherung hierbei auch eine entscheidende Rolle spielt. Bei deinem lokalen Zip-Archiv ist das vollkommen Pups, der einzig limitierende Faktor ist hier die Hardware - CPU, GPU, RAM, HDD/SSD. Da kannst du Millionen Kombinationen pro Sekunde ausprobieren. Machst du sowas bei nem existierendem/entfernten System, wird beim ersten Versuch evtl. ne Pause für den Login von fünf Sekunden eingestellt. Beim zweiten Fehlversuch evtl. zehn Sekunden, beim dritten 15, beim vierten musst du dann zum erneuten Login evtl. eine Minute oder mehr warten... Weiterhin kann man hierbei auch auf langsame Algorithmen umschwenken, welche einen Hash nicht in 0,00000000000001 s erzeugen, sondern evtl. in 0,1 s, was einen Bruteforce-Angriff extrem eindämmt. Auch kann man beim Hashen mal eine Wartezeit von x Sekunden fest einprogrammieren, was Bruteforce-Angriffe ebenso sinnlos macht.
Alles schön und gut darüber nachzudenken und schön dass man sich darüber Gedanken macht. Sind Passwörter aber nicht durch simples Nachdenken und Raten zu bekommen (Sternzeichen + Geburtsjahr bspw.) und der Bruteforce-Angriff nicht im Bereich des Möglichen (da ne Länge von acht und mehr besteht oder das System eben Pausen einschiebt), schiebt man dir eher was unter, als irgendwas auszuprobieren und sinnlos Zeit zu verschwenden, sowie die Nerven zu schonen.