Wobei hier wahrscheinlich auch die Frage ist, was man als Threatmodel annimmt.
Die meisten Angriffe passieren ja eher ungezielt, es setzt sich also niemand hin und überlegt, welcher Teil des PW geändert worden sein könnte. Selbst wenn, verzehnfacht das mal eben die Länge der normalen Passwort-Listen. Von daher ist es wahrscheinlich schon nicht komplett abstrus.
Wobei hier wahrscheinlich auch die Frage ist, was man als Threatmodel annimmt.
Die meisten Angriffe passieren ja eher ungezielt, es setzt sich also niemand hin und überlegt, welcher Teil des PW geändert worden sein könnte. Selbst wenn, verzehnfacht das mal eben die Länge der normalen Passwort-Listen. Von daher ist es wahrscheinlich schon nicht komplett abstrus.