Skip to content

Ab sofort bis zu 72 Zeichen lange Passworte

Ich hätte schwören können, diesen Blog-Beitrag bereits vor einiger Zeit veröffentlicht zu haben. Jetzt habe ich ihn in meinen Entwürfen wiedergefunden.

Wer ein Déjà-vu hat: Bitte ignorieren ;-)

Ab sofort könnt Ihr bei uns auf mein.manitu.de sowie in Euren Webhosting-Paketen bis zu 72 Zeichen lange Passworte verwenden.

Ja, reflexartig würde ich mich auch fragen: Warum nicht mehr als 72 Zeichen?

Hier steht die Erklärung: https://en.wikipedia.org/wiki/Bcrypt#User_input

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Peter G.

Des war bei Twitter :-)

https://twitter.com/manitu_de/status/1117738766297387008

Martin Thielecke

Darf ich fragen, warum es nicht sinnvolle SHA256 Hashes mit Salts sind, wo ich meine üblichen 100 Zeichen verwenden könnte?

Pascal

Weil SHA ein schneller Hash-Algorithmus ist und BCrypt speziell dafür gebaut wurde, (relativ) langsam zu sein. Die Langsamkeit kann man konfigurieren (wenn man will auch 2^16 loops, dauert dann halt paar Sekunden).
M.W.n. muss man bei Bcrypt zwingend einen Salt benutzen. Alle zum Verifizieren benötigten Informationen werden zusammen gespeichert (algo, cost, salt, hash).

Martin Thielecke

Okay, ich habe jetzt keine Gründe gegen den SHA gehört. Nur weil bcrypt ein Salt braucht, heisst dass ja nicht, dass man nicht mit SHA256/SHA512 auch einen Salt mitspeichern kann, über den man dann die Eingabe am Ende verifizieren kann. Aber eine Maximallänge für Passworter von 72 Zeichen nur wegen bcrypt? Sorry, das ist echt boring und aus dem letzten Jahrtausend.

Pascal

Du kannst ja gerne mal Benchmarkvergleiche zwischen SHA2/3 und BCrypt googlen (Hashes pro Sekunde). :-)

Manitu könnte natürlich längere Passwörter auch mit BCrypt zulassen, aber das würde die höhere Sicherheit nur vortäuschen, weil im Zweifel irgendwo tief in den Systemfunktionen dann leider doch gekürzt wird.

Prinzipiell will man gerade bei Passwörtern, dass diese auch in 10, 20, 100 Jahren nicht zurückgerechnet werden können - und schnelle Hashfunktionen sind dann eben schneller unsicher. Aber vermutlich ist das alles eh egal, sobald wir Quantencomputer haben.

Peter

Schön, das es für dich "boring" ist. Es macht aber auch keinen Sinn Passwörter mit 100 Zeichen zu verwenden. 72 Zeichen reichen vollkommen aus. Irgendwo muss man auch ne Grenze ziehen.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
BBCode-Formatierung erlaubt
Formular-Optionen