Mike Ounsworth hier (Autor des Threads, auf den Sie verweisen)
Dies ist eine großartige Ausrede, um ein bisschen hinter dem Umschlag zu rechnen! Der Faktor, über den Sie hier nachdenken sollten, ist, dass Sie bei Zahlen wie 2 43 sup> die Anzahl der Festplatten, CPUs und des Stroms berücksichtigen müssen, die zum Speichern und Verwenden dieser Daten erforderlich sind.
Um die Mathematik zu vereinfachen, nehmen wir an, dass jedes dieser 2 43 sup> -Kennwörter als SHA-1-Hash gespeichert ist (wie dies bei der HIBP-Datenbank der Fall ist) . Jeder SHA-1-Wert beträgt 160 Bit oder 20 Byte. 2 43 sup> * 20 Bytes = 176 Terabyte. Größer als mein Laptop, aber Trottelwechsel für einen Cloud-Dienst.
Wenn Sie in die andere Richtung gehen, stellen Sie sich vor, Sie haben eine Datenbank mit allen 2 43 sup> Klartext-Passwörtern. Sie erhalten den Hash des Kennworts eines Administrators und möchten es brutal gegen Ihre Datenbank erzwingen. Nehmen wir den einfachsten und unsichersten Fall. Es ist ein ungesalzener SHA-256-Hash. Dies ist das Problem, dass Bitcoin-Mining-Rigs für Babys gebaut wurden! Nehmen wir diesen Bitcoin-Miner als groben Maßstab: 3.000 USD, 50TH / s (Tera-Hash pro Sekunde) und verbraucht 1975 W.
Nach meiner voreiligen Rechnung eine Von diesen Einheiten würde 2 ^ 43 / (50.000.000.000.000 / s) = 0,2 s
benötigt, um alle Kennwörter zu testen, vorausgesetzt, eine Datenbank kann ihr so schnell 176 TB Daten zuführen.
In Wirklichkeit werden Passwörter (sollten) mit gesalzenem PBKDF2 oder Argon2 gespeichert. Dies verändert das Spiel erheblich, da diese Hash-Funktionen diese Art von Angriff verhindern sollen. Diese Hash-Funktionen können zum Zeitpunkt des Speicherns des Kennworts als Hash so langsam eingestellt werden, wie Sie möchten. Angenommen, Sie stellen es auf ~ 0,1 s pro Hash ein. Jetzt sehen Sie plötzlich Zahlen wie "Tausende von Jahrhunderten" und "Stromverbrauch des Planeten".
TL; DR: Dies ist eine großartige Frage!
Die Antwort lautet: Wenn Sie ein Kennwort auswählen, an das Sie sich erinnern können und das möglicherweise mit einer anderen Person im Internet kollidiert, ist die Auswahl des Kennworts weniger wichtig als die Website, auf der Sie es speichern, um es sicher zu speichern
Meiner Meinung nach versuchen Sie bei der Auswahl eines Kennworts nicht zu verhindern, dass ein ausreichend engagierter Angreifer es jemals knackt. Stattdessen versuchen Sie es so schwer zu machen, dass sie einem weicheren Ziel nachjagen. "Ich muss keinem Bären entkommen, ich muss nur meinem Freund entkommen" .
Wenn Sie natürlich einen Passwort-Manager mit einem völlig zufälligen 32-Zeichen verwenden Passwort, dann gelangen Sie in den Bereich der kryptografischen Stärke von "Zeitalter des Universums" und "Leistung eines großen Sterns". Also mach das!