Dein Passwort-Generator ist, ohne dass ich ihn deswegen testen müsste, bestimmt sicher, denn ein Angreifer hat ja keine Ahnung wann, wie oft und wofür Du daraus Passwörter generierst. Wie sicher das Passwort das generiert wurde ist, kann man auf verschiedenen Internet-Seiten testen, Google spuckt sehr viele Seiten dazu aus.

Ich komme nicht ganz hinterher. Es geht, ohne das Wort "Passwörter" zu benutzen nur darum, ob jemand den Algorithmus, mit welchem die Zeichenketten erzeugt werden, erraten/rekonstruieren kann, oder?

Das auch... das war doch mit der Enigma-Maschine genau so, soweit ich mich erinnern kann. Sobald der Algorithmus geknackt war, war der Krieg verloren*. Man konnte ab da den ganzen Verkehr entschlüsseln. So auch bei mir, sobald der PassGenerator geknackt ist, sind alle Datein die mit dessen Passwörter verschlüsselt sind - futsch bzw. geknackt. Also wie gesagt ich bin kein Crypto-experte und habe das Tool aus Spaß geschrieben, aber so verstehe ich das.


* - ich übertreibe ein bisschen.

Du erzeugst Passwörter via Zufallsgenerator (Random). Die Resultate eines sog. Zufallsgenerators sind aber stets nachvollziehbar, vielleicht nicht für dich oder mich, aber für Spezialisten, die die erzeugten Muster analysieren können. Um die Erzeugung von Passwörtern via Random zu umgehen, könnte man z.B. willkürliche Mausbewegungen des Benutzers dazu heranziehen.

Schau dir doch diesen Thread im Delphi-Treff mal an, dort war ich, als ich mich mit Passwortgenerierung zu befassen begann, im Grunde genau so begriffstutzig wie du jetzt

Der Angreifer müsste folgendes wissen:
1. Welche Parameter habe ich eingestellt
2. Wie oft habe ich auf "Generieren" geklickt
3. Was war mein Seed
4. Er müsste wissen dass ich mein Passwort mit diesem Programm erzeugt habe

glaube kaum dass das alles (so einfach) herauszufinden ist. Und wenn ja dann ist ein Bruteforce Angriff im Durchschnitt wahrscheinlich einfacher als an all diese Infos zu kommen.

Darum geht's ja auch gar nicht. Der TE fragte danach, ob sein Passwortgenerator sichere Passwörter erzeuge. Für unsereins sind die meisten Passwörter nicht zu knacken, da fehlt uns das kryptographische Wissen und Können. Einem Kryptographie-Experten ist es jedoch möglich, die Muster von Random-Generatoren zu erkennen und auf diese Weise Brut-Force-Angriffe zu minimieren. Im Übrigen stellen die rund 4 Milliarden Seeds, die möglich sind, für Groß- und Schnellrechner nicht wirklich ein Problem dar.

Fazit: Für unsereins, die wir keine Kryptographie-Experten sind, ist so gut wie jedes Passwort unknackbar.

Ja aber ich finde die Frage schon fehl am Platz^^ Da das Programm wie gesagt quasi jeden möglichen String erzeugen kann sind natürlich automatisch auch sehr komplexe und lange Passwörter möglich bzw. darin enthalten. Das Programm kann extrem schwache und extrem starke Passwörter generieren. Aber das liegt einfach nur daran wie der Benutzer es bedient und nicht wie es programmiert ist.

@jfheins:
Welcher Generierungszeitpunkt steht denn in der DP Datenbank? Doch nicht der Zeitpunkt an dem ich mein Passwort mit dem Programm des TEs generiert habe. Man kann maximal den Generierungszeitpunkt des Hashs herausfinden.

Klar wenn man den Generierungszeitpunkt auf die ms genau kennt und dazu alle von mir im Programm eingestellten Randbedingungen dann hat man es zumindest um einiges leichter das PW zu knacken. Aber an diese Infos dran zu kommen ist quasi unmöglich falls man nicht eh schon einen Trojaner vom Angreifer auf dem PC hat. Oder seh ich das falsch?

Und genau das kann man, wenn man das Programm hat. Nennt sich reengeneering oder so und läuft darauf hinaus, die Exe zu dekompilieren. Wird im Zusammenhang mit Wirtschaftsspionage häufig gemacht.

Habe die Version 0.3 mit folgenden Änderungen hoch geladen.

17.02.2014 Version 0.3
- Einstellungen werden autom. in eine .xml-Datei gespeichert
- "Generieren"-Button wird Zufällig x-Mal im Hintergrund betätigt
- das Passwort wird am Ende nach Zufall gemischt
- die ausgewählten Anforderungen an das Passwort werden immer erfüllt (vorher waren sie optional, obwohl ausgewählt)
- Bug aus der Antwort #61 beseitigt