Kurz und schmerzlos: Du redest mit einem, der sich mit Hacking beschäftigt. Jeder vernünftige Cracker besitzt heutzutage (auch schon vor Jahren) die Möglichkeit, vor dem eigentlichen Brute einen Listbrute durchzuführen, mit wählbarer Wörterliste. Selbst Lophtcrack 2.5 hat meineswissens schon Listenangriffe unterstützt. Von wegen also "kein Problem". Zur Veranschaulichung:
Lophtcrack 2.5 (auf einem Quad Xeon 400 MHz):
Alphanumerisch: 5,5 Stunden (Vergleichswert)
Alphanumerisch mit einigen Symbolen: 45 Stunden
Alphanumerisch mit allen Symbolen: 480 Stunden
Zumal deine Theorie falsch ist: Ein Brute geht systematisch vor, am Anfang des Alphabets. Sonst wüsste er ja nicht, welche Kombinationen erfolglos waren.
Was die Sonderzeichen angeht - ja, gewisse Sonderzeichen mögen gewisse Eingabemodule nicht. Ist mir bekannt. Muss man ausprobieren oder nachsehen, ob es geht oder nicht. Gulli.com mag fast alle.
Was ganze Sätze mit 1337 angeht: Es ist die sinnvollste und für den Laien einfachste Möglichkeit, sich ein sicheres Passwort zu merken. Aus
"Meine Oma stach sich beim Stricken in den Finger und verblutete daran, weil sie Bluter ist!"
wird
"M05851dFuvd,w581!"
Soll ich dir jetzt ausrechnen, wie lange mein Rechner für einen Angriff bei unbekannter Schlüssellänge und einem derartigen Zeichensatz braucht (Lokalangriff auf md5-Hash)? Es sind ungefähr 10^20 Jahre für die Hälfte des Schlüsselraums (50%ige Erfolgswahrscheinlichkeit), wahrscheinlich viel länger. Ich hab für die Schätzung meinen Beitrag zum RC5-72-Contest hergenommen und ihn durch 2 geteilt (nur CPU).
Ja, du sprichst von Social Engineering - brauche ich nicht, wenn ich weiß, dass die Person ihre Kennwörter aus dem Duden blättert. Denn das Schreiben der Möglichkeiten in ersterem Fall dauert länger als der Angriff mit einer Liste des deutschen Dudens.
Mir ist die Schwachstelle in der SSL-Implementierung bekannt. Dazu gibts sogar ne Regel: Ein starker Algorithmus kann durch fehlerhafte Implementierung seine ganze Sicherheit einbüßen. Normalerweise gehört sich der Diffie-Hellmann-Austausch am Anfang (mit sauberem Zufallszahlengenerator und Verifikation des Gegenüber), danach der Austausch eines sicheren Sitzungsschlüssels und dann der Verkehr komplett verschlüsselt.
Übrigens: Hashing ist keine Codierung. Hashing ist am Ehesten als eine Einweg-Verschlüsselung beschreibbar.
Ich kenne auch den Trend bei Ubisoft und EA. Und ich denke, dass er sich nicht lange halten wird. Kalypso dürfte auch nicht schlecht verdienen - und die verwenden nicht mal einen CD-Zwang für Tropico 3 (geiles Game übrigens, 11 Euro hat sich definitiv gelohnt, zumal sie sogar ein GEDRUCKTES Handbuch beigelegt haben).
Edith meint: Sehe grade, du bist Newbie. Damit konntest du meinen Hintergrund ja nicht wissen