Zumindest der Thread Ersteller (ggf. noch einige andere hier) haben eine falsche Vorstellung.
Wie schon gesagt wurde. Du generierst ein Passwort. Wenn du nur Zahlen einstellst und 3 Ziffern und
daraus kommt dann "123" dann ist das Passwort wahrscheinlich ziemlich schlecht. Allerdings ist das Passwort "123" genauso schlecht wenn ich es mir selbst ausdenke.

Das Passwort

"§=$DShf242JKL§"

ist nicht ganz so einfach zu knacken weil es recht lang ist und viele verschiedene Zeichen beinhaltet und nur "Zeichensalat" ist und keinem (deutschen) Wort entspricht.
Aber dieses Passwort ist ganz egal ob es von deinem Programm oder von mir ausgedacht wurde so sicher wie es eben ist.

Der Algorithmus der hinter diesem Programm steht ist vom Prinzip her mega einfach.
Was nicht einfach ist, ist vorherzusagen welches Passwort er als nächstes ausspucken wird - aber das ist im Falle deines Programms auch sch... egal.

Edit: Ich habe EINES der generierten Passwörter für meinen Was-auch-immer-Account benutzt. Wenn Person X den Algorithmus deines Programms nun rausgefunden hat - Wen interessierts?: Dadurch weiß Person X noch lange nicht welches Passwort ich gewählt habe.

Das nicht, aber je nachdem wie das Programm funktioniert, ist die Anzahl der unterschiedlichen Passwörter begrenzt, und da liegt der Hase im Pfeffer.
Du hast wesentlich mehr Phantasie als so ein Programm, da ist die Anzahl der möglichen unterschiedlichen Passwörter , vor allem über einen längeren Zeitraum, wesentlich größer.

Gruß
K-H

Das Programm kann (und wird) wenn es richtig programmiert ist jeden möglichen String generieren können der die eingestellten Bedingungen erfüllt. Von daher hat das Programm in dem Sinne um einiges mehr "Fantasie" als jeder Mensch.

Und selbst wenn das nicht so wäre ist das auch egal. Ich stelle Parameter ein, ich drücke 5x auf generieren und nehme für meinen DelphiPraxis Account das generierte Passwort.

Ich gebe dir den Code des Programms. Wie willst du jetzt herausfinden welches Passwort ich habe? Gar nicht....

Du erzeugst Passwörter via Zufallsgenerator (Random). Die Resultate eines sog. Zufallsgenerators sind aber stets nachvollziehbar, vielleicht nicht für dich oder mich, aber für Spezialisten, die die erzeugten Muster analysieren können. Um die Erzeugung von Passwörtern via Random zu umgehen, könnte man z.B. willkürliche Mausbewegungen des Benutzers dazu heranziehen.

Schau dir doch diesen Thread im Delphi-Treff mal an, dort war ich, als ich mich mit Passwortgenerierung zu befassen begann, im Grunde genau so begriffstutzig wie du jetzt

Der Angreifer müsste folgendes wissen:
1. Welche Parameter habe ich eingestellt
2. Wie oft habe ich auf "Generieren" geklickt
3. Was war mein Seed
4. Er müsste wissen dass ich mein Passwort mit diesem Programm erzeugt habe

glaube kaum dass das alles (so einfach) herauszufinden ist. Und wenn ja dann ist ein Bruteforce Angriff im Durchschnitt wahrscheinlich einfacher als an all diese Infos zu kommen.

Stimmt, aber genau daran gibt es berechtigte Zweifel. Und wie das mit den Zweifeln so ist, sind diese Berechtigt bis der Quellcode offen liegt
Ich verweise hier mal auf die EE: http://www.entwickler-ecke.de/viewto...=634538#634538

Nur damit noch nicht. Falls ich aber an die DP Datenbank komme, könnte ich einen Hash und den Generierungszeitpunkt herausfinden. Bei einem schlechten PRNG (wie dem integrierten Random) schränkt das die Anzahl der möglichen Passwörter enorm ein. Anschaulich gesprochen muss ich von deinem 10-20stelligen Passwort nur 6 Zeichen Brute-Forcen. Die anderen 4-14 Zeichen ergeben sich dann aus den Vorherigen.

Der Aufwand für ein 20-stelliges Passwort ist also nicht mehr 62^20 sondern nur 62^6 * 15. (Bei alphanumerischen Passwörtern. Ich muss 6 Zeichen cracken und kann dann die Passwörter mit 6-20 Zeichen schnell checken)

Darum geht's ja auch gar nicht. Der TE fragte danach, ob sein Passwortgenerator sichere Passwörter erzeuge. Für unsereins sind die meisten Passwörter nicht zu knacken, da fehlt uns das kryptographische Wissen und Können. Einem Kryptographie-Experten ist es jedoch möglich, die Muster von Random-Generatoren zu erkennen und auf diese Weise Brut-Force-Angriffe zu minimieren. Im Übrigen stellen die rund 4 Milliarden Seeds, die möglich sind, für Groß- und Schnellrechner nicht wirklich ein Problem dar.

Fazit: Für unsereins, die wir keine Kryptographie-Experten sind, ist so gut wie jedes Passwort unknackbar.

Ja aber ich finde die Frage schon fehl am Platz^^ Da das Programm wie gesagt quasi jeden möglichen String erzeugen kann sind natürlich automatisch auch sehr komplexe und lange Passwörter möglich bzw. darin enthalten. Das Programm kann extrem schwache und extrem starke Passwörter generieren. Aber das liegt einfach nur daran wie der Benutzer es bedient und nicht wie es programmiert ist.

@jfheins:
Welcher Generierungszeitpunkt steht denn in der DP Datenbank? Doch nicht der Zeitpunkt an dem ich mein Passwort mit dem Programm des TEs generiert habe. Man kann maximal den Generierungszeitpunkt des Hashs herausfinden.

Klar wenn man den Generierungszeitpunkt auf die ms genau kennt und dazu alle von mir im Programm eingestellten Randbedingungen dann hat man es zumindest um einiges leichter das PW zu knacken. Aber an diese Infos dran zu kommen ist quasi unmöglich falls man nicht eh schon einen Trojaner vom Angreifer auf dem PC hat. Oder seh ich das falsch?

Es reicht eine Sekundengenaue Angabe. Ich gehe dann einfach davon aus, dass du das Passwort wohl maximal 1h vorher generiert hast. Typischerweise vergeht bei mir keine Minute zwischen Generierung und Festlegung.

Du kannst es auch so sehen: Du hinterlegst ein Passwort mit einer gewissen Menge an Entropie. Einmal hast du ein 12-stelliges Passwort mit 71 bits Entropie (echter Zufall) und einmal mit 26bit. Warum solltest du das schlechtere nehmen und es dem Angreifer potenziell einfacher machen als du müsstest?

"Ich wähle ein schlechtes Passwort, weil es für mich genauso schwer zu knacken ist wie ein gutes" ist auf dem Niveau von "Für meine 102-jährige Großmutter reicht eine Zimmertür als Haustür vollkommen aus, weil sie beide nicht eintreten kann."

In der Kryptographie geht man grundsätzlich davon aus, dass der Angreifer fast alle Informationen hat. In deinem Fall also auch alles was du in #15 aufgezählt hast. Helfen dem Angreifer diese Informationen nicht weiter, ist es ein gutes Verfahren. Helfen Sie ihm, ist es ein schlechtes Verfahren. Sie es so: Einmal musst du das Passwort geheim halten. Das andere mal auch noch den Entstehungszeitpunkt usw.