1. Durchschnittliche Passwörter liegen meiner Erfahrung nach ca. bei 4 - 6 Zeichen. 7-8 laut dir.
Besonders beliebt dabei: 123456
liegt wohl daran, dass ab da mit cracken bei dir schluss ist ?!

zu 2.
Keine Ahnung was du für einen Rechner hast, aber meiner kann keine Wunder vollbringen.
Meiner ist in der Regel langsamer bei salted Hashes.
Ist ja auch logisch.
Es muß zumindest der Salt mit einließen beim Hashen und bei vielen wird auch noch ein zweites mal oder mehr gehasht.
der eine hash durchgang mehr muss so oder so bei allen methoden vollzogen werden nur ist das rein eine zeitliche einschränkung bei brute force. rainbowtables oder lookup dbs
ist das problem um welten größer weil unmengen an space
zusätzlich benötigt wird.

3. Stimmt. Hast schon recht. War auch nur ein Beispiel mit dem 2stelligem.
4 Zeichen schützen aber trotzdem nicht davor, dass der Hash nicht gecrackt wird.
die 4 zeichen langen, solange sie nicht bekannt sind.
wenn der salt bekannt ist kann der meintwegen 512 zeichen
lang sein und schützt nicht besser als nen gebet beim
geschlechtsverkehr.

stimmt so nicht. das hängt mehr davon ab wie das pw und der
salt ausschauen.
Klar hängt es davon ab. Aber ich hab ja auch nicht ohne Grund "kurzes Passwort" und "kurzer salt" geschrieben.
Ein 4 stelliges Passwort + 4 stelliger salt ist doch nicht sicher genug.
hier ist ein md5 hash von einer 8 stelligen zeichenkette.
Code:
c5cbda7a173e37fe443e8e0ba3267eaf
viel spaß .. sollte ja nicht so lange dauern, gell ?
hängt ja nur davon ab wieviel stellen das pw hat und sonst
von garnichts.

Und zum Rest mit der onlinedb.
Ich sags nochmal. Ich behaupte nicht dass man alle Kombinationen in Db's speichern sollte/kann.
Ist mir schon klar wieviele Kombinationen es da gibt. Brauchst mir nicht vorechnen.

Aber die Chance dass solche Wörter enthalten sind, besteht trotzdem.
Besonders weil bei vielen Seiten/OnlineDbs etc. per rt's, wordlist usw. gecrackt wird. Und die gecrackten Passwörter finden dann auch ihren Weg in die Datenbanken.
rt's kannst du schon bei salts ab 2 zeichen in die tonne
kloppen, wordlists wären die ~250tb space falls pre-
computed und niemand betrieb nen wordlist cracker mit
ruled wie ^[a-z0-9]^[a-z0-9]^[a-z0-9]^[a-z0-9] weils
jahre dauert.

Code:
Braucht nur jemand anderer vorher an den Hash geraten sein und irgendwo eingetragen haben.
Und das ist garnicht so selten.
toll. dann steht der hash in ner liste und keiner kann ihn
cracken.[/code]