Wenn wie hier z.B. jemand die Datenbank von XY gehackt hat, dann hat er alle Klardaten, Namen, Adressen usw, die Passwörter sind aber verschlüsselt. Wie sicher diese Verschlüsselung ist, hängt aber sehr stark von der komplexität der Passwörter ab.
Verwendet ihr email@anbierter.land + password, wird zwar das passwort verschlüsselt gespeichert (als md5 hash), aber mit genug rechenpower kann man sich von allen x-beliebigen Passwörtern selber die hash-Werte errechnen und muss dann nur noch den passenden Eintrag finden.
Gibt dafür spezielle Programme die eben nichts anderes tun, als Milliarden Passwörter zu erstellen und den hash Wert dazu.
Klingt jetzt evtl. kompliziert, aber wer als passwort 1234 benutzt, dessen Passwort ist praktisch nicht verschlüsselt.
Das steht dann als "81dc9bdb52d04dc20036dbd8313ed055" in der Datenbank. Man kann zwar das "81dc9bdb52d04dc20036dbd8313ed055" nicht zurück rechnen, aber man kann eben beliebig aufwendige Vergleichstabellen berechnen und dann stumpf vergleichen.
Die Anzahl an Passwörtern die man aus 4 Zahlen bauen kann ist 10hoch 4 = 1000
Keine Herausforderung für moderne Rechenpower.
Zahlen+Buchstaben, wäre basis 36 hoch 4 = 1.679.617 Möglichkeiten.
Immer noch keine Herausforderung in einer hashwert Tabelle.
Wenn ich persönlich sichere Passwörter brauche, verwende ich alle Zeichen (Basis255) und 32 Zeichen Passwortlänge 255 hoch 32 = 1.02*10 hoch 17, kann man sich wenig drunter vorstellen, aber das sprengt eine brute force hashtabelle dann doch vom Umfang.
Man muss ja jede Möglichkeit errechnen und auch Speichern, was schlicht Speicherplatz benötigt.
ABER, das ist keine Sicherheit !
Sicherheit bekommt man erst, wenn man für jede Plattform, die einen Auffordert ein Passwort zu verwenden, dann auch eine INDIVIDUELLE Passwort+Email Kombination verwendet.
So sind meine Zugangsdaten bei BB z.B. nur für Blubrixx, (aktuell gehackt worden) der Dieb kann mit meinem Mittelmässigen Passwort nicht viel anfangen, ausser bei BB selbst, was unangenehm genug sein kann.
Daher im Zweifel das Passwort ändern, und ausreichend lange Passwörter benutzen, auch wenn es lästig ist.
Um sich nicht jeden Schrott merken zu müssen, und trotzdem immer ein individuelles Passwort für jeden Anbieter zu haben, kann man sich ein Muster überlegen, wie man seine Passwört baut.
z.B.
bluebrixx_de
ich nehme vom namen immer das 2.,4.,5,6, Zeichen, also lebr, schreibe das rückwärts und mache das 2. Zeichen davon groß. "rBel", was natürlich VIEL zu banal wäre, und jetzt nehme ich mir einen x beliebigen Codesatz wie z.B. "2348HG23#ä#(8989aG#+*dh2hsa78JHG562gbd7asj!"§$d%f&/((...)noch viel länger wenn es sein muss... " den ich immer gleich lassen, und kombiniere jetzt dieses ggf. sichere ultralange passwort, auf jeder Internetseite noch mit dem erstellten Präfix, im Falle Bluebrixx und meines Beispiels also:"rBel2348HG23#ä#(8989aG#+*dh2hsa78JHG562gbd7asj!"§$d%f&/((...)noch viel länger wenn es sein muss... "
An so einem Passwort beisst sich auch der ambitionierteste Hacker seine Hashwertetabelle kaputt. Die Zeit eine Hashwerttabelle zu berechnen und der benötigte Speicherplatz sprengt alle sinnvollen Dimensionen.
Aber das beste ist, slebst wenn er das Passwort entschlüsselt, kennt er euer System dahinter nicht.
verwendet er das entwendete Passwort an anderer Stelle, gilt es dort dann aber nicht, auch wenn nur die ersten 4 Zeichen anders sind, ist es falsch.
Auch kann man sich den Datenmüll "2348HG23#ä#(8989aG#+*dh2hsa78JHG562gbd7asj!"§$d%f&/((...)noch viel länger wenn es sein muss... "
xbeliebig notieren, ja sogar auf dem PC im klartext in einer Textdatei aufbewahren.
Ohne den individuellen, nach eurem geheimen System erstellten Zusatz, nutzt es auch niemand etwas.
Ein 98 Stellen Passwort auf 255 Zeichen Basis sprengt an mathematischen Möglichkeiten sogar meinen Taschenrechner.
Aber google kann das = 6.933263e+235 Wieder eine Abstrakte Zahl
Das sind mehr Möglichkeiten als es Teilchen im Universum gibt, es gibt einfach nicht genug Materie im Universum um eine Hashwerttabelle zu generieren, die dieses Passwort entschlüsseln könnte, von der Zeit die es bräuchte nicht zu reden.
Es gibt etwa 10 hoch 89 Atome im Universum, wenn man auf jedem Atom ein Passwort speichern könnte, dann bräuchte es mindestens 3 Universen eine Hash Tabelle zu erstellen die alle Passwört bis zu unserem 98 Zeichen Passwort beeinhaltet, aus der man dann den Klartext schlussfolgern könnte.
Also no way !
Jede Ki, auch nicht in 100.000 Jahren kann so ein Passwort knacken.
Leider begrenzen nun auch viele Anbieter die Passwortlängen, aber 16 Zeichen darf man schon nehmen. = 3.19e+18 Möglichkeiten für eine einzige Website, weil man überall ein eigenes Passwort nimmt, ist mehr als ausreichend.
Respekt wer sich das alles angetan hat.
In einer halben Stunde habe ich vor einiger Zeit versuchsweise, um zu sehen wie einfach das ist, etliche Passwörter auf unserem "entschlüsselt", die Betreffenden User dann informiert und gebeten bitte doch was anderes als 1234,password, o.ä. zu benutzen.
1234 als md5 hash verschlüsselt sieht übrigens immer so aus "81dc9bdb52d04dc20036dbd8313ed055"
jeder Webmaster der manuell die Datenbank durchsieht wird bei 81dc9... schon schmunzeln
1235 ergibt in md5hash dann "9996535e07258a7bbfd8b132435c5962"
P.S.: Was ein Anbieter in Klardaten speichert, Namen, Adressen, Geburtsdaten, Telefonnummern, ist leider total unsicher, da eben ein Hacker sich idR die ganze Datenbank kopiert.
Wenn immer möglich, wenigstens die Telefonnummer weglassen.
Nochmal das Essentielle:
Benutzt nicht ein und das selbe Passwort auf verschiedenen Seiten ! Schon gar nicht wenn es weniger als 8 Zeichen hat und nicht alle Zeichen verwendet.
8 Zahlen sind lächerlich ein stino PC braucht keine Sekunde um alle hashwerte von 0 bis 99999999 zu berechnen !
Wir Admins, können nicht garantieren, dass Mitarbeiter unseres Anbieters, oder eben Hacker, sich Zugang zur Datenbank verschaffen !
Jeder der unsere SQL Datenbank in die Finger bekommt, hat allen Klartext + die md5hash Werte eurer Passwörter.
Sind diese zu kurz, und oder benutzen nicht alle Zeichen, groß,klein, sonderzeichen,usw. ist das fast so unsicher wie KLARTEXT.
Ändert ggf. bitte eure Passwörter, nicht nur hier, sondern überall im Internet und verwendet unterschiedliche und sichere Passwörter !
Frohe Weihnachstzeit.
kann man das nach Schema machen.