AW: PassGenerator
Zumindest der Thread Ersteller (ggf. noch einige andere hier) haben eine falsche Vorstellung.
Wie schon gesagt wurde. Du generierst ein Passwort. Wenn du nur Zahlen einstellst und 3 Ziffern und daraus kommt dann "123" dann ist das Passwort wahrscheinlich ziemlich schlecht. Allerdings ist das Passwort "123" genauso schlecht wenn ich es mir selbst ausdenke. Das Passwort "§=$DShf242JKL§" ist nicht ganz so einfach zu knacken weil es recht lang ist und viele verschiedene Zeichen beinhaltet und nur "Zeichensalat" ist und keinem (deutschen) Wort entspricht. Aber dieses Passwort ist ganz egal ob es von deinem Programm oder von mir ausgedacht wurde so sicher wie es eben ist. Der Algorithmus der hinter diesem Programm steht ist vom Prinzip her mega einfach. Was nicht einfach ist, ist vorherzusagen welches Passwort er als nächstes ausspucken wird - aber das ist im Falle deines Programms auch sch... egal. Edit: Ich habe EINES der generierten Passwörter für meinen Was-auch-immer-Account benutzt. Wenn Person X den Algorithmus deines Programms nun rausgefunden hat - Wen interessierts?: Dadurch weiß Person X noch lange nicht welches Passwort ich gewählt habe. |
AW: PassGenerator
Zitat:
Du hast wesentlich mehr Phantasie als so ein Programm, da ist die Anzahl der möglichen unterschiedlichen Passwörter , vor allem über einen längeren Zeitraum, wesentlich größer. Gruß K-H |
AW: PassGenerator
Das Programm kann (und wird) wenn es richtig programmiert ist jeden möglichen String generieren können der die eingestellten Bedingungen erfüllt. Von daher hat das Programm in dem Sinne um einiges mehr "Fantasie" als jeder Mensch.
Und selbst wenn das nicht so wäre ist das auch egal. Ich stelle Parameter ein, ich drücke 5x auf generieren und nehme für meinen DelphiPraxis Account das generierte Passwort. Ich gebe dir den Code des Programms. Wie willst du jetzt herausfinden welches Passwort ich habe? Gar nicht.... |
AW: correct horse battery staple
Zitat:
Schau dir doch diesen Thread im Delphi-Treff mal an, dort war ich, als ich mich mit Passwortgenerierung zu befassen begann, im Grunde genau so begriffstutzig wie du jetzt :lol: |
AW: correct horse battery staple
Zitat:
1. Welche Parameter habe ich eingestellt 2. Wie oft habe ich auf "Generieren" geklickt 3. Was war mein Seed 4. Er müsste wissen dass ich mein Passwort mit diesem Programm erzeugt habe glaube kaum dass das alles (so einfach) herauszufinden ist. Und wenn ja dann ist ein Bruteforce Angriff im Durchschnitt wahrscheinlich einfacher als an all diese Infos zu kommen. |
AW: PassGenerator
Zitat:
Ich verweise hier mal auf die EE: http://www.entwickler-ecke.de/viewto...=634538#634538 Zitat:
Der Aufwand für ein 20-stelliges Passwort ist also nicht mehr 62^20 sondern nur 62^6 * 15. (Bei alphanumerischen Passwörtern. Ich muss 6 Zeichen cracken und kann dann die Passwörter mit 6-20 Zeichen schnell checken) |
AW: correct horse battery staple
Zitat:
Fazit: Für unsereins, die wir keine Kryptographie-Experten sind, ist so gut wie jedes Passwort unknackbar. |
AW: correct horse battery staple
Zitat:
|
AW: correct horse battery staple
Zitat:
@jfheins: Welcher Generierungszeitpunkt steht denn in der DP Datenbank? Doch nicht der Zeitpunkt an dem ich mein Passwort mit dem Programm des TEs generiert habe. Man kann maximal den Generierungszeitpunkt des Hashs herausfinden. Klar wenn man den Generierungszeitpunkt auf die ms genau kennt und dazu alle von mir im Programm eingestellten Randbedingungen dann hat man es zumindest um einiges leichter das PW zu knacken. Aber an diese Infos dran zu kommen ist quasi unmöglich falls man nicht eh schon einen Trojaner vom Angreifer auf dem PC hat. Oder seh ich das falsch? |
AW: PassGenerator
Es reicht eine Sekundengenaue Angabe. Ich gehe dann einfach davon aus, dass du das Passwort wohl maximal 1h vorher generiert hast. Typischerweise vergeht bei mir keine Minute zwischen Generierung und Festlegung.
Du kannst es auch so sehen: Du hinterlegst ein Passwort mit einer gewissen Menge an Entropie. Einmal hast du ein 12-stelliges Passwort mit 71 bits Entropie (echter Zufall) und einmal mit 26bit. Warum solltest du das schlechtere nehmen und es dem Angreifer potenziell einfacher machen als du müsstest? "Ich wähle ein schlechtes Passwort, weil es für mich genauso schwer zu knacken ist wie ein gutes" ist auf dem Niveau von "Für meine 102-jährige Großmutter reicht eine Zimmertür als Haustür vollkommen aus, weil sie beide nicht eintreten kann." In der Kryptographie geht man grundsätzlich davon aus, dass der Angreifer fast alle Informationen hat. In deinem Fall also auch alles was du in #15 aufgezählt hast. Helfen dem Angreifer diese Informationen nicht weiter, ist es ein gutes Verfahren. Helfen Sie ihm, ist es ein schlechtes Verfahren. Sie es so: Einmal musst du das Passwort geheim halten. Das andere mal auch noch den Entstehungszeitpunkt usw. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:59 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz