Zitat von
rollstuhlfahrer:
Und um die Sicherheit noch zu erhöhen (und vor allem denjenigen den Wind aus den Segeln zu nehmen, die meinen zu wissen, wann du dein PW generiert hast): Klatsche noch einen relativ schnell tickenden Timer aufs Form und nimm immer wieder eine Zufallszahl. So veränderst du jedes Mal den RandSeed und es ist somit nicht mehr ganz eindeutig, von welchem RandSeed du dein PW gebaut hast.
Das ändert aber nichts daran, daß mit einem fixen Algorithmus via Randseed/Random "nur" 2^32 Passwörter generiert werden können.
Zitat von
rollstuhlfahrer:
TrueCrype (welches OpenSource ist) geht einen ähnlichen Weg. Um einen möglichst zufälligen Schlüssel zu erhalten soll man möglichst lange zufällig mit der Maus auf dem Form Bewegungen machen. Je länger, desto besser, weil man dann nicht aus dem Zeitstempel auf den RandSeed schließen kann.
Das ist mM eine völlig unzutreffende Beschreibung des TrueCrypt Random-Generators, der im Gegensatz zu Delphi-Random wahrscheinlich ein CPRNG ist: Maus- UND Tastatur- und Netzwerk- und Festplatten-Ereignisse werden gesammelt um Entropie/Zufall in einen Pool reinzumischen mit einer wählbaren Hashfunktion (RIPEMD160, SHA512, oder Whirlpool).
Da das (wahrscheinlich) ein CPRNG ist, kann man selbst wenn man einen bestimmten Zustand kennt, NICHT den nächsten oder vorherigen Zustand bestimmen, ganz im Gegensatz zu Delphi, wo man beliebig Vor- und Zurückrechnen kann: x(n+1) = a*x(n) + b mod 2^32 bzw x(n-1) = (x(n)-b) * (1/a) mod 2^32.