Da ich heute leider kurz Zeit für Ausgrabungen hatte
, und zwar auf einem ganz anderen Dampfer unterwegs war, und trotzdem hier reinstolperte...
Wir hatten erst letzte Woche eine Diskussionn deswegen. Die sichere oder unsichere Implementierung mal außer acht. Ging nur um Längen/Komplexität.
Ich bin übrigens schon seit etlichen Jahren ein Freund davon
https://www.heise.de/security/meldu...ufende-Kennwoerter-nicht-laenger-4407156.html
Davon abgesehen können Passwörter können nie wirklich sicher sein, egal wie lang. Irgendwann steht genug Rechenpower zur verfügung um nicht 15.000 oder 150.000 sondern 1.500.000 oder 15.000.000 Passwörter pro Sekunde zu bruteforcen. Man denke nur an die fortschritte mit GPU Codebreakern.
Soviel hat sich da wohl nicht getan beim Bruteforcen, oder? Der Thread ist 10 Jahre her... So viel anders sehen die Empfehlungen was Länge angeht auch heute nicht (??)
Das ist wohl von 2018 (?)
https://it-service.network/blog/2017/10/23/sichere-passwoerter-passwortsicherheit/
Unsere Netzwerker sagen, wenn du unter 12 Zeichen bist, kannst du auch "123" nehmen... Der Typ von ThinkingObjects sagt da, er benötigt für 16 Zeichen mit keiner besonderen aber brauchbaren Komplexität, also wohl klein/groß und Zahlen, 3 Monate. Erzählt leider nicht mit was.
Wieviel schneller sind FPGAs? PicoComputing hatte 2012 eine PCIe-Karte mit 6x Xilinx Virtex-6 LX240T und 3GB DDR3 drauf (150W), das war beim Bruteforcen ~10x schneller als eine 7970.
Elcomsoft meinte zur gleichen Zeit (ohne genauer drauf einzugehen), was man an FPGAs in ein 4U Gehäuse unterbringen kann ist so schnell wie 2000 Dualcores.
Den Leuten von Truecrypt was das wohl schon damals recht klar (Länge vs. Komplexität). Man konnte da schon ewig lange, zum Passwort noch eine Schlüsseldatei von mind. 64Bytes bis 2KB (?) Länge erstellen. Bei VeraCrypt ist doch noch wesentlich größer gemacht worden. KeePass kann sowas auch.
Damit "verlängert" man das Passwort (ja, 2 Faktor, schon klar) auf Kilobytes.
Und heute? Hat jemand einen GUTEN Link - nicht von irgendeinem interessierten Laien - wie der Aufwand pro zusätzliches Zeichen für FPGA/GPU steigt?