Andersrum ... für jeden Hash mindestens ein Passwort (Rainbow Table),

aber bei einem ordentlichen Salt, bringt das eh nichts.

Liegt es an mir, oder warum wird mein Konto gesperrt, wenn ich drei Fehlversuche für ein Passwort probiere? Warum kann heutzutage immer noch irgendwer irgendwo "Brute force" Angriffe betreiben? Ich verstehe das nicht. Das ist simpelste "Hack" Vermeidung auf niedrigstem Niveau und extrem Effektiv, sogar bei trivialen Passwörtern.

Die meisten Brute-Force-Angriffe dürften ja offline erfolgen - über irgendwelche Leaks, Sicherheitslücken oder sonstwie kommt der Angreifer an die Hashtabelle der Passwörter und kann dann lokal solange ausprobieren, wie er mag. Anschließend braucht man am Server nur einen Versuch.

@Gausi

Ich befürchte, dass du Recht hast. Leider weiß man nicht aus welcher Datenbank. Man kann hier und da prüfen, ob das Passwort kompromittiert ist, aber ich habe bisher nichts gefunden wo angezeigt wird wessen Datenbank das ist, z. B. Facebook oder Google oder ...?

@Sherlock

Du hast Recht. Diese drei Fehlversuche wären sicher, aber auch kompliziert. Bei Onlinebanking ist es so. Drei falsche Eingaben und das Konto ist gesperrt. Es muss dann aufwendig wieder freigeschaltet werden, z. B. telefonisch. Ich denke den Stress wollen sich viele Dienste nicht antun.

Alternative wäre drei falsche Eingaben pro 1/4 Stunde, wie es einige Foren haben.

Wobei, ich habe mal mein Outlook-Konto gecheckt. Anscheinend testet sich bei dem Konto einer durch. Nur wird einmal pro Stunde gehackt. Hier ein Screenshot. Anscheinend hat es einer am Anfang des Monats auf das Konto angesehen.

Ich verwende Norton. Das beinhaltet das Dark Web Monitoring, wo mir angezeigt wird, wo welche meiner Daten geleakt wurden. Den entsprechenden Dienst von Google habe ich ja ganz oben schon erwähnt. Ich bekomme auch Warnungen, wenn ich mich auf der Seite einlogge, wenn ein Passwort kompromittiert wurde. Das ist mir bisher nur einmal passiert.

Beide Dienste zeigen auch an, wo das Passwort kompromittiert wurde. Es kann natürlich auch sein, dass dort nur etwas steht wie Passwortliste im Darkweb. Solche zusammengesetzten Listen stammen aus verschiedenen Quellen. Oft steht aber auch konkret dabei, welcher Leak verantwortlich war. Norton zeigt z.B. auch ganz konkret an, welches Passwort kompromittiert wurde. (Bei mir waren das bisher bis auf einmal nur alte und unsichere, die ich gar nicht mehr verwende.)

Theoretisch zeigt auch Google Chrome welche Passwörter gehackt wurden, dachte ich. Der Passwortmanager des Browsers listet gehackte Passwörter. Zumindest behauptet er das. Leider zeigen spezielle Webseiten beim prüfen weitere Passwörter an, die Google Chrome nicht zeigt.

Naja, die von dir oben genannte Webseite zeigt einfach nur an, ob ein bestimmter Text irgendwo als Passwort bekannt war. Das heißt aber noch lange nicht, dass das dein Kennwort war. Es kann auch jemand anderes einfach nur das gleiche Passwort verwendet haben. (Was je nach Komplexität des Passworts mehr oder weniger wahrscheinlich ist.)

Google und Norton zeigen nur die Fälle an, in denen konkret deine Daten betroffen waren.