Tach!

du hast aber gelesen, worauf geantwortet wurde?

Nicht alles. Ok, das Argument gegen ein Speichern der Länge kam schon. Trotzdem bleibt die Frage, wie soll an der Länge erkannt werden, ob es ein falsches Passwort ist, wenn die Länge aus Gründen besser nicht gespeichert wird?

Wenn man anhand der falschen Länge einen Angriff erkennen möchte, müsste man die Länge speichern und davon ausgehen, dass die Datenbank nicht gestohlen wurde. Aber wenn man davon ausgeht, dass sie vor Diebstahl sicher ist, könnte man gleich Klartext speichern. Sie per Hashing so zu gestalten, dass sie im Diebstahlfall unbauchbar ist, aber gleichzeitig Informationen zu speichern, die das Ermitteln des Passwortes erleichtern, da widersprechen sich die Interessenslagen. Angriffe muss man anders erkennen als an der Länge des probierten Strings.

Ich schrieb extra: in einer eigenen Tabelle (aka Datenbank).
Aber jemand, der die Tabelle mit den Passworthashes stehlen kann, wird ohnehin (Voll)Zugriff aufs System haben.

IMHO ist die Behauptung, dass Datenbanken gestohlen wurden, nur eine Schutzbehauptung der Betreiber, weil sie die damit verbundenen Daten in Wirklichkeit teuer verkauft haben.

Mit einer separaten Speicherung der Passwortlänge oder besser eines zusätzlichen Hash-Verschlüsselungskeys kann man jedenfalls die Sicherheit erhöhen, wenn derjenige, der die Hashes hat nicht ohnehin gleich das Verifizierungsmodul patchen kann.

Welche (a)sozialen Plattformen verlangen eigentlich in geeigneten Abständen die Neusetzung des Passwortes? Und welche behandeln auch den Anmeldenamen als Geheimnis? Das machen mWn noch nicht einmal die Banken.

Alle theoretischen Ansätze sind aber obsolet, wenn die Pseudoprofis noch nicht einmal die einfachsten Möglichkeiten für Sicherheitsgewinn ausschöpfen.

LG
localhorst