Wieso sollte die Wahrscheinlichkeit für eine Hashkollision bei langen Passwörtern zunehmen?

Warte mal, man soll also komplexe Passwörter bilden, weil
das System SQL Anfragen annimmt die die Hashes zurückliefern?

Dann liegt die Schwachstelle nicht am Passwort sondern
dem durchreichen von SQL Anweisungen...

Und selbst bei bekannten Hashes sollten die für andere
Systeme/Webseiten unbrauchbar sein, wenn man beim generieren
einen zufälligen Salt einbringt. (eg anderer Hashwert bei gleichem Passwort)

Lirum larum, wenn ein Angreifer es schafft die Datenbank unberechtigt auszulesen liegt
die Schwachstelle jedenfalls nicht beim Passwortschreiber.

Ähm, wie kommst du jetzt darauf?! Darum ging es doch überhaupt gar nicht?

Es geht eher darum, dass die Login-Eingabebox keine zu langen Passwörter akzeptieren darf

Deshalb.

Warum sollte sie das nicht tun?

Angenommen, für einen kritischen User-Account ist der Passwort-Hash bekannt, das zugehörige Passwort allerdings nicht.
Wenn das Login-Passwort eine beliebige Länge haben darf, so ist ein kurzes Passwort zusätzlich gefährdet, da man jetzt nicht mehr das exakte Passwort finden muss, sondern nur einen beliebigen (langen) String, der den gleichen Hash erzeugt - was unter Umständen sehr viel einfacher ist.
Ist ein sehr theoretischer Angriff, aber möglich.

Für den Fall ungesalzener Hashes spielt das überhaupt keine Rolle. Ein Lookup in einer Rainbowtable und fertig. Da ist die Länge des Passwortes egal.

Bei gesalzenen Hashes wird das Nichtzulassen langer Passwörter nur dazu führen, dass Du dem Angreifer einen immensen Gefallen tust. Wenn Du ihm den Eingaberaum verkleinerst, ersparst Du ihm eine Menge Rechenzeit. Zwar ist die Wahrscheinlichkeit eine andere Eingabe mit gleichem Hash zu finden größer wenn der Eingaberaum größer wird, aber gleichzeitig vervielfacht sich ja auch die Möglichkeit an Eingaben.

Ich stecke in dem Thema Hashes nicht so drin. Warum kann man bei Office Passwörtern Ersatzhashes benutzen ? Ich konnte bisher (fast) alle Passwörter knacken, in dem ich willkürliche Zeichenkolonnen rein prügel ? Klappt zu 90% in unter 2 Minuten.

Sucks: