Diese Berechnungen sind vielleicht prinzipiell richtig, aber in zweierlei Hinsicht am Thema vorbei:
Erstens ist die Berechnung der Grösse des Suchraumes nicht genug, man muss auch dessen Komplexität mit einbeziehen, und die ist nunmal nicht maximal (dann entspräche sie der Grösse). Wer richtig Ahnung von Kryptographie hat braucht nicht den gesamten Suchraum abzugrasen.
Zweitens wird eine Brute-Force Attacke hier nicht gegen die Komplexität des Hash-Raumes durchgeführt, sondern gegen die Komplexität des Passwortes selbst.
Vierstellige Passwörter sind bei md5() schneller geknackt als getippt, dafür gibts Datenbanken (weswegen echte Passwortverschlüsselungen mit Salt arbeiten), und die allermeisten Passwörter mit weniger als 6 oder 7 Stellen sind per Brute-Force in endlicher Zeit zu knacken, wenn man mal den Hashwert in den Fingern hat. Für normale Anwendungen sollte man mindestens 8-stellige Passwörter nehmen, für sichere nochmal zwei drauf.
__________________
mod = master of disaster |