Bei den Dienste-Anbietern im Internet hat es sich inzwischen herumgesprochen, dass die Speicherung von Passwörtern im Klartext keine gute Idee ist. Daher werden in der Regel nicht die Passwörter, sondern nur deren Hashwerte gespeichert.
Wirklich sicher sind Passwort-Hashes aber nicht, denn viele Nutzer wählen simple und kurze Passwörter. Erst kürzlich hat ein Hacker mit dem Pseudonym Tinker gegenüber dem Web-Magazin The Register erläutert, wie sich bestimmte Hashwerte von achtstelligen Passwörtern in zweieinhalb Stunden knacken lassen. Dazu ist lediglich ein frei verfügbares Passwort-Recovery-Tool namens Hashcat nötig sowie ziemlich potente Hardware.
Die unsicheren achtstellige Passwörter sind weit verbreitet, da sie bei vielen Diensten die Mindestanforderungen erfüllen. Google, Microsoft und Yahoo erfordern mindesten acht Stellen, Facebook, LinkedIn und Twitter sogar nur sechs. Auch Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen machen kurze Passwörter nicht wirklich sicher. Besser ist zum Beispiel eine zufällige 5-Wort-Passphrase. […]
Blog-Beitrag für F-Secure