SI Sun schrieb:
einfach die Hashwerte vergleichen muss.
Die hashwerte, die man in einem vorigen Angriff auf den Server einmal abgegriffen haben muss, der wiederum nichts davon mitbekommen haben darf und entsprechend den Salt nicht ändert und die Nutzer nicht darauf hinweist.
Das ganze nennt sich dann Rainbow Table Attack.
SI Sun schrieb:
So könnte man beispielsweise einen Supercomputer über Jahrzehnte nur damit beschäftigen,
Mit etwas
9.5GH/s im SHA-256 Algorithmus bei einer einzelnen A100 und
16.000 A100-GPUs in einem Supercomputer haben wir eine Gesamthashrate von 152TH/s (also 152 Billionen Hashes pro Sekunde.)
Mit zahlen und Groß- sowie Kleinschreibung, also insgesamt 62 Zeichen, gibt es bei einer Passwortlänge von 8 Zeichen bereits 2.18e14, also 218 Billionen mögliche Kombinationen.
Ein 8 Zeichen langes Passwort benötigt somit selbst für einen Supercomputer 1.43 Sekunden. Mit jedem weiteren Zeichen erhöht sich diese Dauer um den Faktor 62, wir landen also bei 12 Zeichen bereits bei 21,192,376 Sekunden, oder 245 Tagen.
Also ja, grundsätzlich könnte ein Supercomputer wohl für 99% der Leute die Hashwerte der Passwörter ziemlich schnell errechnen und eine entsprechende Liste erstellen.
Selbst wenn jetzt aber für alle PWs einer Website der gleiche 8 Zeichen lange Salt verwendet werden würde (und damit die Zeichenlänge auf Minimum 16 ansteigt.), landen wir bei einer minimalen Rechendauer von 3.62e9 Tagen (vor Kenntnis des Salts) bzw 9.9 Millionen Jahren.
Nach Kenntnis des Salts wären es die 1.43 Sekunden bis 245 Tage, die aber erst ab Kenntnis des Salts zählen.
Mach den Salt jetzt noch Nutzerindividuell und du landest je nach PW-Länge zwischen 1.43 Sekunden und 245 Tagen
pro Nutzer.
TL;DR:
Für einzelne Personen benötigt ein Supercomputer mit bekanntem Salt keine Jahrzehnte. Ohne den Salt zu kennen reichen hingegen nichtmal Jahrtausende aus.