Hi

Dann hat man zumindest noch die realtive Sicherheit, dass es erst erraten wrden muss, um damit Schindluder zu treiben, also den Accountinhaber per Fake auszusperren.
Jepp, doppelte Sicherheit.

Da irrst Du. Der Faktor für die Mehrsicherheit hängt von der statistischen Erratbarkeit des Anmeldenamens ab. Wenn der z.B. 8 Zeichen lang ist (nur Großbuchastaben erlaubt), dann gibt es ja 26^8 Möglichkeiten. Wenn nun 200 User vorhanden sind, dann hat man rein mathematisch eine zusätzliche Sicherheit von (26^8)/200
Widerspruch bitter hier:

Du gehst von der _mathematischen_ Sicherheit aus, ich von der psychologischen. Denn dort bedeutet ein schlechtes Passwort mit einem dazu leicht erratbaren Usernamen doppelte sicherheit, weil man zwei Dinge erraten muss, nicht nur eins. Das macht zweimal Brute-force, was theoretisch (also in diesem Falle "halbmathematisch") zwar die angriffszahl qaudrieren müsste, es aber nicht tut, da Brute-Force intelligenter ist, als der dumme User der so einfache Credentials kredenzt. Wir können uns gerne darüber disputieren, welche Wahrscheinlichkeit es gibt, aber Fakt ist: Bei einem _per se_ sicheren System entscheidet bei Bruto-Force einzig und allein die Komplexität der Credentials, und wenn man beide verschlüsselt ist die Chance doppelt so klein, nicht quadratisch und erst recht nicht (26^8)/200 so groß. Script-Kiddies gehen vielleicht so vor, aber niemand, der _ernsthaft rein will_ ...

Ist nämlich ein nettes Spiel, einfach mal über electronic Banking eine wildfremde Kontonummer anzusprechen und dann drei Fehlversuche darauf abzulassen. Der Inhaber wird sich ärgern, dass seine eBank-Verbindung immer gesperrt ist.
Wie war gleich deine Nummer...? *fg*
Ich gebe hier lieber keine Tipps merh für groben Unfung.

<zynismus>Warum sollte ich, ich suche lieber die Kontozahlen aus meinem Telefonbuch >k-)</zynismus>

Fabian