Lyra schrieb:
Nur von utf8 Smilies würde ich noch empfehlen die Finger zu lassen. Die mag die Datenbank nicht.
Auch das ist im Passwort egal, wir speichern das Passwort ja nicht lesbar direkt.
user_unknown schrieb:
Aber gehen wir nochmal zurück zu 62 Zeichen. Wenn man rechnet, dass sich die bezahlbare Rechenkapazität für den gleichen Angriff jedes Jahr verdoppelt, dann hat man alle 6 Jahre sein Passwort um die Länge 1 zu verlängern, um die Bedrohungslage konstant zu halten. Klingt wenig, aber in 90 Lebensjahren sind das doch beachtliche 15 Zeichen mit der unschönen Asymetrie, dass dann, wenn das Gedächtnis am schwächsten wird, das schwierigste Passwort zu merken ist.
Daher gibt es PBKDF2 & Co, sobald sich ein User anmeldet portiert man dieses einfach auf einen neueren Hash wo ein moderner CPU weniger Zyklen pro Sekunde schafft. Das mehrfache Anwendungen von Hash und/oder Verschlüsselungsfunktionen ist gängiger Standard, der CPUs ausreichend lange beschäftigt um ein Brute Force unwirtschaftlich genug zu machen.
mfg Stefan