Hallo Henryk,

so rum war das doch nicht gemeint. Natürlich sollen Paßwörter schön Einweg-verschlüsselt werden. Aber unter einem Hashing verstehe ich auch ein Zusammenfassen. So hat hier ja auch einer geschrieben, daß ab einer gewissen Länge sich der Schutz nicht mehr erhöhen läßt - eben wegen diesem Hashing. Das kann doch nicht sein, daß ich an der Uni mir ein Paßwort aus 12 Zeichen gegeben habe und ich mich anschließend mit Hilfe der ersten 8 Zeichen wieder einloggen konnte.

Andersrum kann es doch auch nicht sein, daß ein Paßwort

dgR5W4i85Tw3 (12 Zeichen)
auf 8 Zeichen runterverschlüsselt wird und es damit natürlich ein 8 Zeichen langes Passwort gibt, welches anstelle des 12 Zeichen - langen genommen werden kann, also z.B.
t74eSS35
weil beide die gleiche Hashsumme von z.B. (alles jetzt frei erfunden)
55gh8z67
ergeben.
Deshalb würde ich sagen, daß die Paßwortlänge auf z.B. 32 Zeichen angehoben werden sollte. Und die Einweg-verschlüsselten Paßwörter sollen natürlich auch 32 Byte lang sein - logisch. Nur dann machen doch Überlegungen wieder Sinn, das Brutforces einfach zu lange dauern, egal wie schnell die Rechentechnik wird. Dann verlängern wir eben nochmal, wie bei den Schlüsselpaaren der asynchronen Verschlüsselung (Stichwort: PGP, digitale Signatur, etc.: erst 512 Byte, dann 1024, 2048 und glaube auch schon 4096 Byte lang.

sichere Grüße
Andreas