Gesunde Praxis sollte es daher sein, Zufalls-generierte Passwörter mit möglichst vielen Stellen zu verwenden, diese regelmäßig zu wechseln und ....
Schon alleine das ist eigentlich gar nicht mehr (so einfach) möglich.
Klar, für seine wichtigsten paar Accounts kann man das vielleicht noch machen. Vor allem dann, wenn man keine automatisierte Art der Eingabe verwendet, also irgendwie gespeicherte Passwörter. Denn in dem Fall muss man die Passwörter ja auch jedes Mal auf allen seinen Geräten ändern, von denen aus man sich einloggt.
Richtig ungemütlich wird es dann, wenn man das regelmäßig und mit allen Logins machen will, wenn man viele Accounts hat. Ich zb habe in den letzten ~25 Jahren über 150 unterschiedliche Accounts erstellt. Der Aufwand bei allen regelmäßig das Passwort zu ändern ist mir da ehrlich gesagt viel zu groß. Aber ja, bei den sensibelsten Accounts mache ich das durchaus (tlw).
Ich würde bei dem ganzen Thema irgendwie gar kein Problem sehen, wenn die Anzahl der Eingabeversuche grundsätzlich (also egal ob Webseite oder Datei/Archiv) limitiert wäre. 3 Versuche sollten mMn immer ausreichend sein. Wenn dann erstmal 5 Minuten gewartet werden muss, bis man es wieder (1x) versuchen kann, sollte das doch ausreichen.
Was ich auch nicht verstehe: Es gibt ja ebenfalls seit ca. 25 Jahren schon die Möglichkeit, einen Fingerabdruckscanner am PC zu benutzen. Warum kann man damit nichts gescheites machen? Hier müsste die Software im Hintergrund doch "einfach nur" intelligent arbeiten, und als User müsste man sich gar keine Gedanken mehr um Passwörter machen. Einfach aus nem Fingerabdruck nen zb. 1024 Stellen langes Passwort erzeugen?
Ich hab überhaupt keine Ahnung von dem Thema, aber mein Garagentoröffner zb. kann nicht von einem billigen Klon kopiert werden, weil irgendwie bei jedem Knopfdruck andere (Zufallsgenerierte?) Signale/Daten übertragen werden. Ein Signal abfangen, und 1:1 einfach noch einmal senden, bringt also gar nichts.
Mir ist daher nicht ganz klar, warum das Thema "Verifizierung" am Computer bis heute, meiner laienhaften Meinung nach, so schlecht umgesetzt ist.
Als ich meinen eBay-Account vor ca. 20 Jahren erstellt habe, hatte ich ein Passwort mit ~18 Stellen, sowie Groß- und Kleinschreibung verwendet. Irgendwann (nach Jahren!) war ich beim Login mal abgelenkt, und hatte mein Passwort kleingeschrieben. Und was soll ich sagen, es hat funktioniert.
Zwei-Faktor + Zeitlimit reicht doch aus, damit man mit einfachem Brute-Force nicht ans Ziel kommt.
Und gefühlt heißt es ja in vielen Fällen von "Daten gehackt" immer wieder, dass die Systeme der Betreiber gehackt wurden. In solchen Fällen kann ich als User selbst mit nem Passwort was 1000 Stellen hat nichts ausrichten.
Ich kann mich da an einen Bericht erinnern, in dem es (
sinngemäß) hieß, ein 15-Jähriger hätte Sony (Playstation-Network?) oder Rockstar (GTA-Leak?) oder irgend sowas gehackt. Irgendwie kam man ihm auf die Schliche, und aus irgendeinem Grund musste er dann unter Polizeischutz in einem Hotel untergebracht werden. Im Hotel war ihm langweilig, und er hat sich dann einen Fire-TV Stick gekauft. Damit hat er dann mal eben Nvidia gehackt.
Warum sollte man sich als Hacker mit dem Login von "Otto Normal" beschäftigen, wenn man auch "einfach" direkt die ganze Plattform hacken kann?