… all die Idioten, die Webseiten bzw. die dahinter stehenden Systeme mit einer Maximallänge für die Passwörter programmieren, mit Dachlatten verprügeln, bis sie selber darauf kommen, warum das, was sie da gemacht haben, keine gute Idee ist?
Wenn man auf einer Seite für sein Kennwort nur eine bestimmte Anzahl an Zeichen zur Verfügung hat, ist das ein Indiz dafür, das dort kein sicheres Verfahren, wie zum Beispiel salted Hashes, zum Speichern der Passwörter eingesetzt wird. Ganz abgesehen davon, das bei Passwörtern die Devise je länger, desto sicherer gilt.
Sollte es ein Angreifer schaffen, sich eine Kopie der Datenbank von dem Server zu besorgen, ist es für ihn deutlich einfacher, die verschlüsselten Passwörter zu entschlüsseln, als sie aus den salted Hashes zurück zu errechnen. Erst recht, wenn der notwendige Schlüssel sehr schwach oder sogar auf dem Server gespeichert ist oder der wenn der verwendete Algorithmus bereits gebrochen wurde und somit nicht mehr sicher ist. Soll ja alles schon vorgekommen sein.
Und wer Passwörter im Klartext speichert, möge doch bitte sofort sterben gehen. Einfacher kann man es Datendieben wohl kaum noch machen!
Und wenn wir gerade dabei sind: Die Typen, die sich diese komischen Regeln, das Passwörter Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten sollen und zwischen 8 und 20 Zeichen lang sein sollen, ausgedacht haben, haben sich auch eine Tracht Prügel mit der Dachlatte verdient. Wer Regeln für die Passwörter vergibt, der verhindert gerade die Zufälligkeit und macht es den Rechnern der Angreifer um so leichter, das Passwort zu erraten, da das Schema für das Passwörter ja im Grunde schon bekannt ist. Ohne solche Vorgaben, könnte man hingegen z.B. 4 oder 5 zufällige Wörter als Passwort verwenden. Wenn man dann noch weiß, das der Wortschatz der deutschen Sprache zwischen 300.000 und 500.000 Wörter umfasst, kann man davon ausgehen, das solch ein Passwort sehr sicher sein sollte, weil man eine ganze Menge Versuche brauchen dürfte, um es zu knacken.