Moin!

Nachdem das crypt nur die ersten 2 Zeichen Salt hat und viel Pepper dahinter,
sollte IMHO nicht nur das _eine_ Plain-Passwort auf
den crypt Wert passen,  sondern recht viele Passwörter,
weil sicher mehr als nur ein Passwort den selben crypt wert hat,
oder seh ich was falsch?

Somit wäre crypt ja recht unsicher?

Nein, _deswegen_ ist crypt nicht unsicher. crypt ist unsicher, weil es nur die ersten 8 Zeichen des Passwortes berücksichtigt und alle nachfolgenden ignoriert. Mit heutigen Rechnern könnte man dann tatsächlich in aussichtsreicher Zeit alle möglichen Kombinationen durchprobieren.

Oder wird es sicherer wenn man 20 Zeichen Passwörter nimmt?

Da crypt nach 8 Zeichen abschneidet - nein.

Aber andererseits, das entscheidende am crypt sind immer nur 2 Buchstaben...

Nein, das Salt kann irgendein Zufallswert sein, ist aber nicht weiter wichtig. Es soll nur die Ergebnisse noch etwas verwürfeln. Das benutzte Salt steht beim Ergebnis auch vorne wieder drin, damit man die Korrektheit eines Passwortes zusammen mit diesem Salt auch prüfen kann. Das Salt macht es also absolut nicht schwieriger, das System zu knacken.

Ich hab das Gefühl egal wie lange das Passwort ist, crypt bleibt unsicher,
weil das Alphabet 26 Buchstaben hat,
also    26 (mathematisches zeichen) 26  Möglichkeiten gibt es insgesamt.

Crypt ist deswegen unsicher, weil nur 8 Zeichen Passwort reingehen und deshalb auch nur relativ wenig verschiedene Ergebnisse rauskommen können. MD5 oder SHA1 sind heutzutage in jedem Falle vorzuziehen.

- Sven Rautenberg