Die meisten Websites, die wichtige Informationen verarbeiten (z. B. Google Mail), verfügen über einen Brute-Force-Schutz. Wenn Sie mehr als das X-fache versuchen, wird das Konto manchmal gesperrt oder Sie erhalten zumindest ein zu lösendes Captcha.
Derzeit sagen alle Sicherheitsexperten immer wieder dasselbe: Erstellen Sie lange, gemischte Zeichen und Passwörter mit hoher Entropie . Dies ist sehr sinnvoll, wenn Sie über einen RSA-Schlüssel nachdenken oder über etwas, das offline entschlüsselt werden könnte. Ist es jedoch wirklich wichtig, wenn wir über Kennwörter für Online-Konten sprechen?
Zum Beispiel erstellen wir ein Kennwort für Google Mail mit nur 6 Buchstaben aus dem englischen Alphabet. Dies sind ungefähr 26 ^ 6 = 309 Millionen Kombinationen. Wenn wir davon ausgehen, dass wir 1 Passwort pro Sekunde testen können (was meiner Meinung nach schneller ist als wir es tatsächlich können, wenn Sie die Google Mail-Captchas berücksichtigen), benötigen wir bis zu 10 Jahre, um zu brechen, und durchschnittlich 5 Jahre. P. >
Zu berücksichtigende Punkte:
- Wenn Sie dasselbe Passwort auf einer anderen Website verwenden, kann eine andere Website gehackt und Ihr Passwort offengelegt werden. Ich gehe davon aus, dass das Passwort eindeutig ist. Wird nur mit Google Mail verwendet.
- Wenn jemand die Datenbank abrufen kann, kann er den Hash Ihres Kennworts brutal offline erzwingen. Ich gehe davon aus, dass die Website mindestens einen gesalzenen Hash verwendet (sehr unwahrscheinlich, dass der Hacker versucht, alle Passwörter zu knacken) und / oder sehr unwahrscheinlich ist, dass die Datenbank gehackt wird (dies ist eine faire Annahme bei Google Mail).
- Ich gehe auch davon aus, dass Ihr Passwort kein Wörterbuchwort oder etwas leicht zu erratendes ist. Dies sollte Brute Force für mehrere Konten ausschließen (z. B. das Testen des gleichen gemeinsamen Kennworts für mehrere Konten).
Kann man davon ausgehen, dass wir für Websites kein wirklich langes Kennwort benötigen Sobald wir die anderen Sicherheitsmaßnahmen befolgen? Wenn wir vorschlagen, dass Benutzer ein langes Kennwort verwenden, nur weil sie normalerweise nicht den anderen Sicherheitshinweisen folgen (verwenden Sie dasselbe Kennwort für alle Konten usw.). Versuchen wir nicht wirklich, die Symptome und nicht die Ursache zu beheben?
PS: Einige andere Fragen betreffen fast dasselbe, aber die Antworten berücksichtigen immer, dass die Person auf allen Websites dasselbe Kennwort verwendet oder dass die Website-Datenbank leicht gestohlen werden kann.