Zitat:
Zitat von Jens  Nicht alle Systeme haben die gleichen Passwortbibliotheken und können dann mit diesen Zeichen umgehen. Im übrigen ist es wichtiger, ob das Passwort im Klartext gespeichert wird oder ordentlich versalzen, denn dir nützt ein sicheres Passwort wenig wenn es im Klartext gespeichert ist. Passwörter werden heute nicht mehr durch probieren an der Eingabe geknackt, sondern i.d.R. durch Diebstahl der Passwortdatenbank. In diesem Forum hier kann man übrigens noch viel einfachere Passwörter verwenden ... |
Der kleine Ausflug in die Passwortsicherheit ist nicht ganz richtig, bzw. nicht ganz vollständig.
Ich hoffe, dass auf keiner halbwegs seriösen Webseite Passwörter im Klartext gespeichert werden...
Aber gesalzene Passwörter sind noch etwas ganz anderes:
Im Normalfall wird aus einem Passwort ein sogenannter
Hash gebildet.
Wenn ich mich also mit dem Passwort "
abc123+-?" registriere, wird z.B. ein sogenannter md5 Hash gebildet und in der Datenbank gespeichert. In meinem Beispiel würde der Hash "
941c8dcff0a59ec703160ab0e26d9c04" lauten.
Aus dem Hash kann aber nicht wieder das Passwort gewonnen werden! Wenn ich mich also später anmelde und mein Passwort eintippe muß wieder der Hash gebildet werden, der dann mit dem hinterlegten Hash in der Datenbank verglichen wird.
So gesehen wäre also sogar das Passwort "123" bei einem Datenbankeinbruch sicher, da jeder Hash 32 alpha-nummerische Zeichen lang ist. Das Problem ist aber, dass es sogenannte Hash-Tables gibt, in den alle normalen Wörter und alle kürzeren Buchstaben-Zahlen-Kombinationen hinterlegt sind.
So kann in der Tabelle schnell nach z.B. "ba1f2511fc30423bdbb183fe33f3dd0f" gesucht werden und man bekommt das dazugehörige Passwort ("123") angezeigt. (Hier z.B.:
? MD5 Passwörter entschlüsseln ?)
Ohne diese Tables müßten Hacker ziemlich viele Rechner ziemlich lange rechnen lassen, bis sie das richtige Passwort zu einem Hash finden...
So und nun kommt erst das sogenannte Salz: Dabei verlässt man sich nicht nur auf das Passwort des Nutzers, sondern fügt dem noch weitere Zeichen hinzu, so dass dem Passwort z.B. 24 weitere Zeichen hinzugefügt werden und es damit in keiner aktuellen Hash-Tabelle zu finden ist und es mehrere Jahre dauern würde, dieses Passwort zu knacken.
Am Rande sollte noch erwähnt werden, dass die md5 Bibliothek wohl auch nicht mehr als sicher gilt... sie dient hier aber nur als einfaches Beispiel.
Und es ist natürlich quatsch zu behaupten, dass Sonderzeichen nicht zulässig wären, weil manche Bibliotheken das nicht beherrschen. Wenn eine Bibliothek das nicht beherrscht, dann sollte sie einfach nicht eingesetzt werden. Das Abspeichern in die Datenbank ist, wie man am obigen Beispiel sieht, kein Problem, da egal welches Sonderzeichen ich eingeben, eine Ziffern-Buchstaben-Kombination als Hash erstellt wird.
Soviel dazu...
Aber eigentlich ziegst Du es auch selber, dass das geforderte Passwort nicht den aktuellen Sicherheitsnormen entspricht, indem Du das Beispiel für Komplexitätsvoraussetzungen bei Passwörtern des Active Directory anführst... Dort sind Sonderzeichen erlaubt...