Hi,

ich habe ein Programm, das Passwörter bewerten soll.
Die Bewertungsfunktionen habe ich zusammen, ich brauche nur noch einen Wert: Die Größe des Passworts in Bits.

Ein paar Beispiele:
Wie kann ich so eine Größe ermitteln?

Wie kommst Du auf diese Bitwerte

......

P.S.: Schau mal in die CodeLibrary, da ist ein Algo zur Berechnung von Passwort-Qualitäten.

Cypher von Hagen Redman stellt ebenfalls so eine Bewertung zur Verfügung.

Auf die Bitwerte komm ich durch Passwortprogramme (Passwort Depot, AmP, etc.).

Ich sagte bereits, dass ich die Bewertung schon fertig habe (dabei kam die Code-Library natürlich auch zur Geltung).

Die Passwörter sollten nach möglichkeit aus ca. 128 Bits bestehen, wenn diese 128 Bits zufällig gewählt wurden.
D.h. bei reinen zeichenbasierten Passwörtern die nur Buchstaben und Zahlen enthalten aus englischen/deutschen Wörtern sollte das Passwort ca. 128 * (8 / 3.2) = 320 Bits / 8 = 40 Zeichen bestehen. Ein 40 Zeichenpasswort ist rechnerisch also die korrekte Sicherheitsschranke um Bruteforce Angriffen zu widerstehen zu können.

Die 3.2 sind die durchschnittliche Informationsgehalt eines 8 Bit Bytes, wenn dieses Byte nur aus ASCII Zeichen besteht und im Zusammenhang mit englischen Wörtern gesehen wird. D.h. die Informationsdichte pro Byte ist nur 3.2 Bits groß. Deshalb müssen ASCII Passwörter immer größer sein als reine zufällig gewählte und binäre Passwörter.

Soweit die mathematisch rechnerische Grundlage. Natürlich benutzt KEINER von uns so lange Passwörter, was auch erklären mag das man heutzutage durchaus schnelle und erfolgreiche Brute Force Angriffe durchführen kann.
Auch mein Algo. in der Code Library berücksichtigt dies, und reduziert zu Gunsten der Faulheit der User, die Passwortsicherheits-Schranken drastisch.

Allerdings 32 Bits, in deinem ogiben Falle sogar nur 12.8 Bits, sind erheblich zu gering.

Gruß Hagen

Ähhmm.. Kapier ich nicht

Also. Wenn man mit einem sicheren Zufallsgenerator ein Array[0..15] of Byte mit Bits füllt, so hat man ein 128 Bit Passwort. Es gibt also insgesammt 2^128 = 340282366920938463463374607431768211456 verschiedene 128 Bit Passwörter. Diese Schranke ist so hoch das bei heutigem Technik und Wissensstand es unmöglich ist alle Passwörter durchzuprobieren. Man benötigte dafür Millionen Jahre. Allerdings ist in dieser das Fortschreiten der Technologie für die nächsten 20 Jahre berücksichtigt. Die schlauen Mathematiker haben also den unwahrscheinlichen Fall angenommen das unser technischer Fortschritt in den nächsten 20 Jahren hyper-exponentiell vorranschreitet. Somit ist ein 128 Bit binäres Passwort für die nächsten 20 Jahre garantiert 100% sicher.

Nur, bei zeichenbsierten Paswörtern werden ja nur wenige Zeichen des gesamten ASCII Zeichensatzes benutzt. Aus den 256 möglichen Zeichen pro Byte, benutzen die Buchstaben + Ziffern nur 36 Kombinationen. D.h. pro Byte wird nur 36/256'tel benutzt, dies sind nur 14%. Somit reduziert sich die Bit-Sicherheit solcher Passwörter. Zusätzlich komt noch die Verteilung der einzelnen Buchstaben im Passwort zu tragen. Kein Mensch gibt wahllose aufeinanderfolgende Buchstaben ein. Sondern er wird einen Namen, Text, Zitat oder ähnliches benutzen. Dies reduziert die Verteilung nochmals, da es zb. in der Deutschen Sprache nur 200.000 Wörter gibt von denen nur 5.000 umgangsprachlich permanant benutzt werden. D.h. ein Angreifer wird NICHT Bit für Bit jedes Passwort durchprobieren, sondern auf grund sogenannter Wortdatenbanken eine Dictionary Attack durchführen. Damit erhöht er drastisch die Wahrscheinlichkeiten möglichst schnell ein Passwort zu knacken. Diesem Umstand muß man Rechnung tragen, und exakt die (8 / 3.2) pro Zeichen tut dies. Denn pro Zeichen = 8Bit enthält ein englsicher Text nur 3.2 Bit an unkomprimierbarer Information !!

Gruß Hagen

Danke, für die Aufschlussreiche Erklärung.

Aber wie bekomm ich denn nun die Größe?

Schau hier in die Code Library, dort solltest du einen Source von mir finden.
Allerdings berechnet mein Code die prozentuelle Sicherheit des Passwortes, relativ zo den sinnvollen Empfehlungen der Crypto Gurus. Durch leichte Änderungen kannst du aber auch die relative Sicherheit in Bits des Passwortes errechnen. Allerdings frage ich mich was der Benutzer mit einer solchen Bit Angabe anfangen soll

Gruß Hagen