N'Abänd alle zusammen,

Nachdem ich in der DP und im Web schon einiges, teils in meinen Augen auch widersprüchliches gefunden hab', will ich mal "from scratch" eure Anregungen hören:

Ich biete in meinem Programm "Secure my Keys" die Möglichkeit, Passwörter zu erstellen. Dabei kann der Benutzer zwischen diversen Kombinationen (Ziffern und/oder Groß - und Kleinbuchstaben und/oder Sonderzeichen) und der Passwortlänge wählen.

Das Passwort erstelle ich dabei mit einem einfachen random von Delphi und einem case...of - Konstrukt. Allerdings habe ich gelesen, dass Random aus irgendeinem Grund nicht sicher sein soll bzw. keine wirklichen Zufallszahlen erzeugen soll. Warum nicht?

Andere Programme gehen z.B. den Weg, den Benutzer wahllos irgendwelche Zeichen eingeben zu lassen. Nur handelt es sich hier ja auch nicht wirklich um Zufall, oder? Denn die Wahl der Zeichen beim Eintippen geschieht ja durch ein bestimmtes Muster, auch wenn uns das nicht bewusst ist.

Wie also erzeuge ich so ein Passwort am Sichersten? (am Zufälligsten?)

Wäre übrigens ganz toll, wenn unser Kryptographie - Experte Hagen was schreiben könnte...

Random Es gab schon genug Threads zum Thema Zufallszahlen.

Wenn du Random "zufälliger" machen willst, solltest du unbedingt "Randomize;" vorher aufrufen.

Das ganze hat eigentlich nichts mit Kryptologie zu tun. Du solltest nur versuchen, in deinem "Zufallsalgoritmus" möglichst viele verschiedene Zeichen auftauchen zu lassen. Und da sollten auch Sonderzeichen (wie "&", "%", "$", "/", "?", "+", "#" etc.) vorkommen. Groß/Kleinschreibung sollte auch variiren. Das solltest du auf jeden Fall beachten

das random ergebnis wird dadurch nicht "zufälliger" sondern erst durch randomize wird es funktionell d.h. initialisiert

echte zufallszahlen sind (eher) mit hardware zu bekommen (rauschen einer diode usw)

Daniel hat Randomize bestimmt schon korrekt aufgerufen hat. Delphi berechnet die Zufallszahlen aus der aktuellen Zeit + dem Datum. Das ist kein echter Zufall weswegen viele schlaue Köpfe schon darüber nach gedacht haben, wie man die Zufallszahlen mit welchen Quellen an einem PC "zufälliger" machen kann.

Liefert nicht Hagens DEC einen guten Pseudo-Zufallszahlen-Generator? (glaube das hier irgendwo mal gelesen zu haben)

628, um genau zu sein, und nichtmal ein Drittel hat mit meiner Frage zu tun. (Hey, ich weiß, dass ein Drittel 'ne ganze Menge ist )

Jupp, weiß ich schon ziemlich lange...

Mach' ich auch schon...

Da wirds schon interessanter. Wie ...ähh... würde man den sowas machen? (Nein, dass geht jetzt mehr in die Theorie, für eine Passwortverwaltung wäre das wohl der Overkill...)


Was mir auch gerade noch einfällt:
Einige Programme erzeugen auf einem Canvas ein Rauschen aus weißen und schwarzen Punkten und lassen den Benutzer mit dem Mauszeiger darüber hin- und herfahren. So etwas vielleicht?

//Edit:
Hmm... Zum Verschlüsseln nutze ich das DEC schon. Eigentlich wollte ich ja nicht nur auf Vorgefertigtes zurückgreifen.

das kommt schon eher hin

in pgp gab es auch eine funktion um passwörter zu erstellen (bzw. dort die keys). dort musste man mit seiner maus eine weile auf dem desktop hin- und herfahren.
ich nehme an, dass die koordinaten dann auch mit in berechnung des passwortes aufgenommen wurden.

Ein schönes Beispiel ist auch das hier:
http://hoffie.info/other/passwortgenerator/
Da kann man ein Muster angeben nachdem dann ein "sicheres" Passwort erzeugt wird.

MfG Florian

Hagen hat hier vor einiger Zeit mal nen Algorithmus zur Verfügung gestellt, um die Qualität eines Passwortes zu überprüfen:
*klick*

Du benötigst zur Passwort-Erzeugung keinen Zufall :=)

Das einzisgte was du benötigst ist ein Datenstrom an Bits/Bytes der nicht für einen Angreifer reproduzierbar ist, das ist alles.

Wenn also ein Mensch über das Keyboard oder die Maus "wahllos" Eingaben macht dann ist dies dermaßen individuell das es nicht reproduzierbar sein kann für einen anderen Menschen.

Am einfachsten ist also ein YARROW-typischer RNG. Dabei wird ein sogenanntes Register mit zb. 128 Bytes Länge mit den gesammelten Daten des menschlichen Inputs gefüllt (einmalig zum Start). Will man nun daraus 1 Bit/Byte an "Zufallsdaten" erzeugen so berechnet man zb. mit SHA1 einen Digest üder dieses Register. Das Byte 0 aus diesem Digest wird mit dem Register xor verknüpft, das Byte 1 des Digest ist der "Zufalls"-output.

Gruß Hagen