Hallo zusammen,

ich habe soeben einen super interessanten Thread im Archiv gelesen:

http://forum.de.selfhtml.org/archiv/2000/10/t23286/#m119358

Ganz besonders hat mir dieser Punkt hier gefallen:

<Zitat>
c) Scheitern beide Methoden, dann wäre der nächst größere Suchraum derjenige, der aus Permutationen bestimmter Zeichen besteht. Jetzt also sind wir bei 26 hoch 8 Zeichen, wenn nur um Kleinbuchstaben verwendet wurden - immerhin schon 209 Milliarden Möglichkeiten, da kommt kein Lexikon mehr mit. Trotzdem: bei 1 Mio Versuche pro Sekunde nur 58 Stunden für alle Kombinationen, im Schnitt also die Hälfte bis zum Erfolg.
Dieser letzte Schritt wird aber massiv schwerer, wenn man das Alphabet erhöht: Schon mit Ziffern und Kleinbuchstaben kommt man auf 36 hoch 8, also 2821 Milliarden, d. h. zehnmal so viel wie ohne Ziffern. Mit Großbuchstaben sind es 62 hoch 8 gleich 2183420 Milliarden oder erneut 77 mal so viel wie zuvor - langsam wird es mehr als die Lebensdauer eines Passworts.
Und selbst dieses Verfahren scheitert definitiv, wenn Du mindestens ein einziges Zeichen verwendest, was weder Buchstabe noch Ziffer ist.
</Zitat>

Ich bin gerade dabei, mir ein Handling für Passwörter einfallen zu lassen, wobei Benutzer die Möglichkeit haben, ihr Passwort selbst du wählen - also kein vorgegebenes Zufallspasswort. Die einzigen Vorgaben, die dem Benutzer von mir vermutlich "aufgezwungen" werden, sind zum Beispiel, dass das Passwort mindestens einen Buchstaben, eine Zahl und eine Mindestlänge von acht Zeichen haben muss.

Nach Betrachung des Zitats kommen dabei schonmal einige Milliarden Möglichkeiten heraus, allerdings sind auch solche Passwörter schnell "geknackt", abhängig von der Schnelligkeit der "Tries", die ein Cracker drauf hat.

Wie schaut das ganze nun aber aus, wenn ich in meinem Skript ein sleep von einer Sekunde einbaue? Eine Sekunde Wartezeit wird einem Benutzer für sein einmaliges Login nicht wehtun und auf diese Weise wären dann nämlich keine ... sagen wir mal ... 1 Million Versuche pro Sekunde möglich, sondern tatsächlich nur ein Versuch pro Sekunde!

Wenn dann zusätzlich noch alle drei Monate das Passwort gewechselt werden muss, wieviel Zeit bleibt dann noch einem Cracker, ein Passwort zu knacken?

Ok, vielleicht war das jetzt ein vollkommen falscher Denkweg, denn wenn der Angreifer 1 Million parallele Jobs startet, holt er die eine Sekunde schnell wieder ein :) aber denkbar unsinnig.

Kann mir jemand mit etwas mehr Erfahrung gedanklich weiterhelfen?

Könnte das ein zusätzliches Sicherheitsfeature sein?

Greez,
opi