Genug im Trüben gefischt?

Jetzt haben wir ein unterschiedliches Salt für jedes Password und benutzen eine langsame Hash-Funktion, das ist doch sicher sicher?

Denken wir doch kurz an unsere armen Benutzer, welche sich immer neue Passwörter ausdenken, und sich dann auch noch daran erinnern müssen! Gut möglich, dass da mal was wie bullshit oder 12345 reinrutscht.

Natürlich weiss das auch ein Angreifer, und es ist naheliegend, dass er eine kleine Sammlung von solch schwachen Passwörtern durchprobiert. Und es ist ebenso naheliegend, dass er in vielen Fällen sehr schnell zum Ziel kommt.

Man nennt dies einen Wörterbuchangriff (Dictionary attack). Mit einer "kleinen" Auswahl von ausgesuchten Versuchen, will man eine möglichst grosse Zahl von Passwörtern finden.