Ja, ist interessant.
Ich versuche nachzuweisen, warum bestimmte Passwortrichtlinien notwendig sind. Im Falle der Sonderzeichen ist das kein Problem (also ganz allgemein was den Zeichensatz anbetrifft). Der Effekt ist rechnerisch leicht nachzuweisen. Was mir halt Probleme macht, ist das Zusammenspiel aus Passwortlänge und max. Passwortalter.
Wenn 7 Zeichen mit 66 Tagen (bei vollem Zeichensatz) korellieren, wären es 8 Zeichen mit 4092 Tagen. Das wäre natürlich schon eine sehr gute Info.
grizzly999: Du hast geschrieben es sei immer ein lokales Austesten gemeint. Ich meine, mir ist klar, daß unter Windows eine Kerberosanmeldung abläuft. Eine solche Anmeldung muß irgendeinen Schlüssel austauschen, der vom Server überprüft wird. Wenn also ein Angreifer diesen Hash abfängt, kann er ihn lokal austesten.
Wenn ich den Artikel richtig verstanden habe, kann man mit einem Hash auch das Passwort erraten. Das ist kein Problem. Der Artikel sagt ja eindeutig daß bis zu 3000000 Passwörter pro Sekunde mit einem geklauten Hash abgeglichen werden können. Das reicht mir als Info, genauer brauche ich es da nicht.
Offensichtlich kann man mit einem Hash ja aber auch schon Zugriff erlangen, ohne das Passwort zu knacken. Muß er erst das Passwort zu dem Hash finden, um Zugriff auf das Konto des ausgespähten Opfers zu bekommen? Ich hoffe nicht daß er mit dem Hash schon Vollzugriff hat?! Bzw. hat er mit dem Hash alleine tatsächlich "nur" 600 Min. lang vollen Zugriff?
Da ihr mir die vorigen Fragen vielleicht nicht beantworten dürft (Boardregeln), scheint mir dann der entscheidende Punkt zu sein: Wie lange braucht ein Angreifer um mit Hilfe eines Hashes Zugriff zu bekommen? Leider habe ich den Hashmechanismus nicht richtig verstanden und tiefer darf ich nicht bohren, ohne die Boardrichtlinien zu verletzen :-)
Dann bleibt aber noch die Frage: Wie siehts tatsächlich mit automatisierter Anmeldung aus? In dem Artikel wird ein Beispiel gebracht, aber ohne jegliche Hintergründe. Ist das Austesten wirklich so langsam?
P.S.: Sorry daß ich mich erst jetzt melde. War nicht ganz auf dem Damm.