PassList Generator
 

Hallo,

ich habe aus Spaß einen kleinen Passwort Generator programmiert. Werde mich freuen wenn ihn jemand testen würde.

Danke für Euer Feedback. :-D

Jeder der mit machen möchte, bitte schön. :-D


11.02.2014 Version 0.1
- Veröffentlicht

12.02.2014 Version 0.2
- Benutzerfreundlichkeit etwas verbessert

17.02.2014 Version 0.3
- Einstellungen werden autom. in eine .xml-Datei gespeichert
- "Generieren"-Button wird Zufällig x-Mal im Hintergrund betätigt
- das Passwort wird am Ende nach Zufall gemischt
- die ausgewählten Anforderungen an das Passwort werden immer erfüllt (vorher waren sie optional, obwohl ausgewählt)
- Bug aus der Antwort #61 beseitigt

18.02.2014 Version 0.4
- Name geändert
- Quellcode etwas optimiert
- im Google Code gehostet -> https://code.google.com/p/passlist-generator/

24.03.2014 Version 0.5
- Generieren mehrerer Passwörter möglich
- Liste der Passwörter druckbar
- Exportieren der Liste in Aussicht

25.03.2014 Version 0.6
- Exportieren der Passwortliste
- kleine Korrekturen am Code

AW: PassGenerator
 

[QUOTE=AlexII;1247397Werde mich freuen wenn ihn jemand testen würde. Den Quellcode lade ich später hoch, weil ich erst mal sehen möchte, ob der Generator in Sachen Sicherheit was taugt bzw. ob jemand dessen Passwörter knacken kann.[/QUOTE]

Ohne Source wirst du gerade bei Crypto-Geschichten kaum sinvolles feedback bekommen.

Crypto ohne Source = Zeitverschendung.

AW: PassGenerator
 

Also dein Feedback finde ich z.B. sehr sinnvoll, weil es mir sagt, dass die damit generierten Passwörter sicher sind, weil der Angreifer nicht weiß wie ich sie erzeuge. Stimmt's, oder irre ich mich? Also ich bin kein Crypto-experte, aber das war mein erster Gedanke. :gruebel:

AW: PassGenerator
 

Hä?
Was hat der ganze Kram mit Kryptographie zu tun?
Da werden nur zufällige Zeichenketten erstellt anhand einiger vorgegebener Parameter.

Da gibts nichts zu knacken. Was soll man da bzgl. Sicherheit testen?

PS: Nichts gegen das Programm selbst aber ich verstehe das mit dem Knacken nicht und was cookie22 auch mit seinem Crypto-Kram meint. Sehe da nämlich nichts kryptographisches

AW: PassGenerator
 

Ich denke, wenn der Angreifer den eingesetzten Zufallszahlengenerator rausfinden wird, wird es sich auf das PassGenerator-Kennwort viel leichter stürzen und die Passwörter knacken. Die Sache ist jetzt zu testen, ob dieser Generator sichere Passwörter erzeugt. So mein Gedanke dazu...

AW: PassGenerator
 

Hallo AlexII,

wenn Dein Passwort in einem Wörterbuch oder einer rainbow-table auftaucht ist es sehr leicht zu knacken.

Du erhöst die Sicherheit eines Passwortes in dem Du bestimmte Kriterien festlegst die das Passwort erfüllen muss.
Das macht Dein Programm.
Ob dahinter dann ein hoch-komplexer Zufallszahlengenerator steckt ist primär erst einmal egal.
So ein Passwort kann ich auch ohne Programmunterstützung erstellen wenn es den gegebenen Kriterien entspricht ist es genauso sicher wie eines von Deinem Programm generiertes.

Grüße
Klaus

AW: PassGenerator
 

Dein Passwort-Generator ist, ohne dass ich ihn deswegen testen müsste, bestimmt sicher, denn ein Angreifer hat ja keine Ahnung wann, wie oft und wofür Du daraus Passwörter generierst. Wie sicher das Passwort das generiert wurde ist, kann man auf verschiedenen Internet-Seiten testen, Google spuckt sehr viele Seiten dazu aus.

correct horse battery staple
 

Ich komme nicht ganz hinterher. Es geht, ohne das Wort "Passwörter" zu benutzen nur darum, ob jemand den Algorithmus, mit welchem die Zeichenketten erzeugt werden, erraten/rekonstruieren kann, oder?

AW: correct horse battery staple
 

Das auch... das war doch mit der Enigma-Maschine genau so, soweit ich mich erinnern kann. Sobald der Algorithmus geknackt war, war der Krieg verloren*. Man konnte ab da den ganzen Verkehr entschlüsseln. So auch bei mir, sobald der PassGenerator geknackt ist, sind alle Datein die mit dessen Passwörter verschlüsselt sind - futsch bzw. geknackt. Also wie gesagt ich bin kein Crypto-experte und habe das Tool aus Spaß geschrieben, aber so verstehe ich das.


* - ich übertreibe ein bisschen.

AW: correct horse battery staple
 

Und genau das kann man, wenn man das Programm hat. Nennt sich reengeneering oder so und läuft darauf hinaus, die Exe zu dekompilieren. Wird im Zusammenhang mit Wirtschaftsspionage häufig gemacht.

AW: PassGenerator
 

Zumindest der Thread Ersteller (ggf. noch einige andere hier) haben eine falsche Vorstellung.
Wie schon gesagt wurde. Du generierst ein Passwort. Wenn du nur Zahlen einstellst und 3 Ziffern und
daraus kommt dann "123" dann ist das Passwort wahrscheinlich ziemlich schlecht. Allerdings ist das Passwort "123" genauso schlecht wenn ich es mir selbst ausdenke.

Das Passwort

"§=$DShf242JKL§"

ist nicht ganz so einfach zu knacken weil es recht lang ist und viele verschiedene Zeichen beinhaltet und nur "Zeichensalat" ist und keinem (deutschen) Wort entspricht.
Aber dieses Passwort ist ganz egal ob es von deinem Programm oder von mir ausgedacht wurde so sicher wie es eben ist.

Der Algorithmus der hinter diesem Programm steht ist vom Prinzip her mega einfach.
Was nicht einfach ist, ist vorherzusagen welches Passwort er als nächstes ausspucken wird - aber das ist im Falle deines Programms auch sch... egal.

Edit: Ich habe EINES der generierten Passwörter für meinen Was-auch-immer-Account benutzt. Wenn Person X den Algorithmus deines Programms nun rausgefunden hat - Wen interessierts?: Dadurch weiß Person X noch lange nicht welches Passwort ich gewählt habe.

AW: PassGenerator
 

Das nicht, aber je nachdem wie das Programm funktioniert, ist die Anzahl der unterschiedlichen Passwörter begrenzt, und da liegt der Hase im Pfeffer.
Du hast wesentlich mehr Phantasie als so ein Programm, da ist die Anzahl der möglichen unterschiedlichen Passwörter , vor allem über einen längeren Zeitraum, wesentlich größer.

Gruß
K-H

AW: PassGenerator
 

Das Programm kann (und wird) wenn es richtig programmiert ist jeden möglichen String generieren können der die eingestellten Bedingungen erfüllt. Von daher hat das Programm in dem Sinne um einiges mehr "Fantasie" als jeder Mensch.

Und selbst wenn das nicht so wäre ist das auch egal. Ich stelle Parameter ein, ich drücke 5x auf generieren und nehme für meinen DelphiPraxis Account das generierte Passwort.

Ich gebe dir den Code des Programms. Wie willst du jetzt herausfinden welches Passwort ich habe? Gar nicht....

AW: correct horse battery staple
 

Du erzeugst Passwörter via Zufallsgenerator (Random). Die Resultate eines sog. Zufallsgenerators sind aber stets nachvollziehbar, vielleicht nicht für dich oder mich, aber für Spezialisten, die die erzeugten Muster analysieren können. Um die Erzeugung von Passwörtern via Random zu umgehen, könnte man z.B. willkürliche Mausbewegungen des Benutzers dazu heranziehen.

Schau dir doch diesen Thread im Delphi-Treff mal an, dort war ich, als ich mich mit Passwortgenerierung zu befassen begann, im Grunde genau so begriffstutzig wie du jetzt :lol:

AW: correct horse battery staple
 

Der Angreifer müsste folgendes wissen:
1. Welche Parameter habe ich eingestellt
2. Wie oft habe ich auf "Generieren" geklickt
3. Was war mein Seed
4. Er müsste wissen dass ich mein Passwort mit diesem Programm erzeugt habe

glaube kaum dass das alles (so einfach) herauszufinden ist. Und wenn ja dann ist ein Bruteforce Angriff im Durchschnitt wahrscheinlich einfacher als an all diese Infos zu kommen.

AW: PassGenerator
 

Stimmt, aber genau daran gibt es berechtigte Zweifel. Und wie das mit den Zweifeln so ist, sind diese Berechtigt bis der Quellcode offen liegt ;-)
Ich verweise hier mal auf die EE: http://www.entwickler-ecke.de/viewto...=634538#634538

Nur damit noch nicht. Falls ich aber an die DP Datenbank komme, könnte ich einen Hash und den Generierungszeitpunkt herausfinden. Bei einem schlechten PRNG (wie dem integrierten Random) schränkt das die Anzahl der möglichen Passwörter enorm ein. Anschaulich gesprochen muss ich von deinem 10-20stelligen Passwort nur 6 Zeichen Brute-Forcen. Die anderen 4-14 Zeichen ergeben sich dann aus den Vorherigen.

Der Aufwand für ein 20-stelliges Passwort ist also nicht mehr 62^20 sondern nur 62^6 * 15. (Bei alphanumerischen Passwörtern. Ich muss 6 Zeichen cracken und kann dann die Passwörter mit 6-20 Zeichen schnell checken)

AW: correct horse battery staple
 

Darum geht's ja auch gar nicht. Der TE fragte danach, ob sein Passwortgenerator sichere Passwörter erzeuge. Für unsereins sind die meisten Passwörter nicht zu knacken, da fehlt uns das kryptographische Wissen und Können. Einem Kryptographie-Experten ist es jedoch möglich, die Muster von Random-Generatoren zu erkennen und auf diese Weise Brut-Force-Angriffe zu minimieren. Im Übrigen stellen die rund 4 Milliarden Seeds, die möglich sind, für Groß- und Schnellrechner nicht wirklich ein Problem dar.

Fazit: Für unsereins, die wir keine Kryptographie-Experten sind, ist so gut wie jedes Passwort unknackbar.

AW: correct horse battery staple
 

:thumb:

AW: correct horse battery staple
 

Ja aber ich finde die Frage schon fehl am Platz^^ Da das Programm wie gesagt quasi jeden möglichen String erzeugen kann sind natürlich automatisch auch sehr komplexe und lange Passwörter möglich bzw. darin enthalten. Das Programm kann extrem schwache und extrem starke Passwörter generieren. Aber das liegt einfach nur daran wie der Benutzer es bedient und nicht wie es programmiert ist.

@jfheins:
Welcher Generierungszeitpunkt steht denn in der DP Datenbank? Doch nicht der Zeitpunkt an dem ich mein Passwort mit dem Programm des TEs generiert habe. Man kann maximal den Generierungszeitpunkt des Hashs herausfinden.

Klar wenn man den Generierungszeitpunkt auf die ms genau kennt und dazu alle von mir im Programm eingestellten Randbedingungen dann hat man es zumindest um einiges leichter das PW zu knacken. Aber an diese Infos dran zu kommen ist quasi unmöglich falls man nicht eh schon einen Trojaner vom Angreifer auf dem PC hat. Oder seh ich das falsch?

AW: PassGenerator
 

Es reicht eine Sekundengenaue Angabe. Ich gehe dann einfach davon aus, dass du das Passwort wohl maximal 1h vorher generiert hast. Typischerweise vergeht bei mir keine Minute zwischen Generierung und Festlegung.

Du kannst es auch so sehen: Du hinterlegst ein Passwort mit einer gewissen Menge an Entropie. Einmal hast du ein 12-stelliges Passwort mit 71 bits Entropie (echter Zufall) und einmal mit 26bit. Warum solltest du das schlechtere nehmen und es dem Angreifer potenziell einfacher machen als du müsstest?

"Ich wähle ein schlechtes Passwort, weil es für mich genauso schwer zu knacken ist wie ein gutes" ist auf dem Niveau von "Für meine 102-jährige Großmutter reicht eine Zimmertür als Haustür vollkommen aus, weil sie beide nicht eintreten kann."

In der Kryptographie geht man grundsätzlich davon aus, dass der Angreifer fast alle Informationen hat. In deinem Fall also auch alles was du in #15 aufgezählt hast. Helfen dem Angreifer diese Informationen nicht weiter, ist es ein gutes Verfahren. Helfen Sie ihm, ist es ein schlechtes Verfahren. Sie es so: Einmal musst du das Passwort geheim halten. Das andere mal auch noch den Entstehungszeitpunkt usw.

AW: correct horse battery staple
 

Mit dem Standard Zufallszahlengenerator von Delphi kann es das eben nicht weil allein schon die Anzahl der möglichen Zustände zu gering ist.
Man braucht also schon einen PNRG mit entsprechend grosser Periodenlänge.
Zum Beispiel Well-1024a oder Mersenne-Twister:
http://www.delphipraxis.net/175061-w...generator.html

AW: correct horse battery staple
 

Damit erzeugt man also mehr oder weniger sichere Passwörter?

AW: PassGenerator
 

http://xkcd.com/936/ (wurde zwar neulich erst verlinkt, ich habe den Thread aber nicht wiedergefunden)

AW: correct horse battery staple
 

Zum erzeugen sicherer Passwörter, braucht man einen kryptographisch sicheren Zufallszahlengenerator, wie z.B Yarrow oder ISAAC. Der muss dann auch noch gescheite Seeds bekommen. Das schützt dich aber immer noch nicht vor zufällig schlechten/schwachen Passwörtern. Um das zu vermeiden, musst du die Entropie des Passwortes bestimmen. Dazu gibt es einiges hier im Forum.

Zu guterletzt bringt dir das aber alles nichts, weil du den Source noch nicht veröffentlicht hast. Wie gesagt, Crypto ohne Source ist Käse, weil selbst der kleinste Fehler fatale Auswirkungen haben kann.

AW: correct horse battery staple
 

Den braucht man nur wenn man größere Datenmengen in Umlauf bringt.
Dann kann der Angreifer nämlich Rückschlüsse auf den inneren Zustand des PRNG ziehen und die weitere Zufallsfolge berechnen.
Da aber Passwörter doch relativ kurz sind ist der Rückschluss auf den inneren Zustand nicht möglich.
Wichtig bei jedem Zufallsgenerator ist natürlich das Seeding; aber das gilt ganz unabhängig davon ob der PRNG als kryptographisch sicher gilt oder nicht.

Würde man mit einem nicht kryptographisch sicheren PRNG sehr viele Passwörter erzeugen und der Angreifer hätte einige aufeinanderfolgende Passwörter in die Finger bekommen dann bestünde die Gefahr, dass er auch die nachfolgenden Passwörter errechnen kann.

AW: correct horse battery staple
 

Ja, genau. Darum braucht man für ein solches Tool auch einen kryptographisch sicheren Zufallszahlengenerator. :P

AW: PassGenerator
 

Klasse.

Der beste Passwortgenerator, den ich kenne, ist 32cm lang und nennt sich "meine Katze". Die lasse ich einfach über meine Tastatur laufen. Aus dem Kauderwelsch nehme ich mir dann einen Teil, der möglichst bescheuert ist, und beim Aussprechen Kiefern- und Zungenkrämpfe verursacht.

Alternativen? Mein Sohn ist zu alt, da würde die Tastatur zerbröseln. Ach, ich kann auch drei Schnäpse trinken und dann versuchen, das Ave Maria abzuschreiben, oder Tastaturschlagzeug spielen. Ziemlich schwer zu knacken, so ein Kennwort, solange man nicht die Sequenz à la 'asdfasdfasd' extrahiert.

Wozu sollte ein Kennwortgenerator bloß gut sein? Eine Kennwortdatenbank macht da schon viel mehr Sinn, denn wenn man es richtig machen will, müsste man ja für jeden Account ein eigenes Kennwort haben. Das kann sich nur keine Sau merken, denn jede Eselsbrücke wäre ja auch knackbar.

Hach, es ist schon ein Kreuz mit der paranoiden Störung. Kann Einem ganz schön den Tag versauen.

Das Blöde an jeder Sicherung ist ja, das man auch daran vorbeilaufen kann. Ist die Tür doppeltgesichert und mit Panzerstahl versehrt? Breche ich die Wand auf oder gehe gleich durchs Fenster. Ist das Kennwort oberkryptisch? Greife ich das über die Tastatur ab.

Leute, solange man nicht '12345' oder 'Kennwort' verwendet, ist das doch vollkommen Wurscht. Die Gefahr geht in erster Linie von den nicht 100% sicheren Websites aus.

Das ist so, als ob man sein Geld auf eine Bank bringt, deren Tresorraum mit einer Holztür verschlossen ist und der Safe hat die Form, Haptik, Gewicht und das Aussehen eines Schuhkartons.

Ok, und die großen Websites bauen eine mächtige Stahlbetonwand davor, damit wir uns sicher fühlen. Von hinten betrachtet ist das aber trotzdem nur eine Bruchbude mit Schuhkarton.

Wobei ich nichts gegen die rein technisch-mathematischen Aussagen bezüglich potentieller Angriffe gesagt haben will. Aber -bitte- die NSA, BND u.a. gehen doch nicht so vor. Brauchen die nicht. Die gehen durch den Personaleingang. Und so manche Bande von Kriminellen gleich mit.

AW: PassGenerator
 

So... hab jetzt eine etwas verbesserte Version hoch geladen und den Quellcode. )))

Geschrieben wurde die Anwendung in Lazarus mit dem Mersenne-Twister Zufallszahlengenerator.

Warte auf Euer Feedback. )))

AW: PassGenerator
 

Hat es einen besonderen Grund, dass du Application.Terminate benutzt anstatt Close?

AW: PassGenerator
 

Ich schließe die Form1 immer so. Nicht, dass da irgendwas im Hintergrund oder im Tray weiter läuft. Oder spricht da was dagegen?

AW: PassGenerator
 

Solltest du dir abgewöhnen für die Zukunft, falls irgendwelche Daten noch nicht richtig abgespeichert/verarbeitet worden sind killt es den Prozess einfach :wink:

Mir noch ne Art Minibug aufgefallen, wenn man keine Checkbox angehakt hat dann wirft dein Programm eine Fehlermeldung mit Titel 'Warning' nimm am besten die Standartdialoge die sich mit dem Titel an der Systemsprache festhalten.

AW: PassGenerator
 

Ok... weiß es für die Zukunft, aber in diesem Fall geht das!

AW: PassGenerator
 

Hab noch ne Kleinigkeit entdeckt siehe mein Post drüber. Ansonsten muss ich aber sagen, dass mir deine GUI ganz gut gefällt. Viele Programmierer denken warum auch immer oftmals nicht aus der Sicht eines Anwenders und das Resultat ist ein furchtbar unstrukturierte chatoisch hässliche GUI.

Stell doch dein Projekt auf GitHub 8-)

AW: PassGenerator
 

Ähm... verstehe nicht ganz, meinst Du MessageDLG?

AW: PassGenerator
 

Danke, danke... ich hab vor die GUI noch mehr Benutzerfreundlich zu machen. :thumb:

Das mit GitHub ist so eine Sache... ich bin in einem Land aufgewachsen, wo weit und breit nur Deutsch die Fremdsprache war. Deswegen kann ich kaum Englisch. :( Aber ich überlege es mir. :thumb:

AW: PassGenerator
 

http://matthias-hielscher.de/tutoria...d-Dialoge.html

Ich meinte mit der Flag mtWarning :)

Zu Git schau dir das mal an. Empfehle dir als Windows Client Sourcetree von Atlassian. http://rogerdudler.github.io/git-guide/index.de.html

Und falls du Fragen zu Git hast kannst das entweder im Forum machen oder per PM bei mir :).

AW: PassGenerator
 

Das habe ich doch schon... :gruebel:

Danke Dir, werde es auf jeden Fall anschauen. :thumb:

AW: PassGenerator
 

Dann frag ich mich wieso ich beim Titel "Warning" bekam und nicht Warnung :stupid: Bei der About ist es wiederum richtig und da steht als Titel des Fensters "Informationen".

AW: PassGenerator
 

MessageDlg ist doch dieses selbstgebaute Gedöns noch aus Borland-Zeiten. MessageBox hingegen kommt von Windows selbst und verwendet daher AFAIK die Systemsprache.

AW: PassGenerator
 

Vllt weil es Lazarus ist? Ein Bug vllt?