Meisenkeiser schrieb am 13.04.2016 11:27:
Oder an welchen Stellen irre mich nun?
Folgendes Szenario: einem Hacker fällt die Passwort-Datenbank einer beliebten Website in die Hände.
Die Passwörter sind gehasht und gesalzen. Das Salt ist aber in der Regel kein Geheimnis, sondern wird oft mit gespeichert (individuelles Salt bei jedem User).
Die einzige Möglichkeit, aus diesen Daten das Passwort zu extrahieren, besteht darin, die Hashes von allen möglichen Ziffernkombinationen + Salt zu bilden, und dann in dieser Lookup-Tabelle ("Rainbow-Table") nach dem Passworthash des Users zu suchen, dessen Account man kapern will.
Jedes zusätzliche Zeichen mehr im Passwort bedeutet jetzt eine Multiplikation der Anzahl der zu generierenden Hashes mit der Anzahl Zeichen im Zeichenvorrat.
Je länger das Passwort, destomehr Hashes müssen berechnet werden, desto größer also die Sicherheit.
Gruß,
faoileag