Hä?
Was hat der ganze Kram mit Kryptographie zu tun?
Da werden nur zufällige Zeichenketten erstellt anhand einiger vorgegebener Parameter.

Da gibts nichts zu knacken. Was soll man da bzgl. Sicherheit testen?

PS: Nichts gegen das Programm selbst aber ich verstehe das mit dem Knacken nicht und was cookie22 auch mit seinem Crypto-Kram meint. Sehe da nämlich nichts kryptographisches

Ich denke, wenn der Angreifer den eingesetzten Zufallszahlengenerator rausfinden wird, wird es sich auf das PassGenerator-Kennwort viel leichter stürzen und die Passwörter knacken. Die Sache ist jetzt zu testen, ob dieser Generator sichere Passwörter erzeugt. So mein Gedanke dazu...

Hallo AlexII,

wenn Dein Passwort in einem Wörterbuch oder einer rainbow-table auftaucht ist es sehr leicht zu knacken.

Du erhöst die Sicherheit eines Passwortes in dem Du bestimmte Kriterien festlegst die das Passwort erfüllen muss.
Das macht Dein Programm.
Ob dahinter dann ein hoch-komplexer Zufallszahlengenerator steckt ist primär erst einmal egal.
So ein Passwort kann ich auch ohne Programmunterstützung erstellen wenn es den gegebenen Kriterien entspricht ist es genauso sicher wie eines von Deinem Programm generiertes.

Grüße
Klaus

Dein Passwort-Generator ist, ohne dass ich ihn deswegen testen müsste, bestimmt sicher, denn ein Angreifer hat ja keine Ahnung wann, wie oft und wofür Du daraus Passwörter generierst. Wie sicher das Passwort das generiert wurde ist, kann man auf verschiedenen Internet-Seiten testen, Google spuckt sehr viele Seiten dazu aus.

Ich komme nicht ganz hinterher. Es geht, ohne das Wort "Passwörter" zu benutzen nur darum, ob jemand den Algorithmus, mit welchem die Zeichenketten erzeugt werden, erraten/rekonstruieren kann, oder?

Das auch... das war doch mit der Enigma-Maschine genau so, soweit ich mich erinnern kann. Sobald der Algorithmus geknackt war, war der Krieg verloren*. Man konnte ab da den ganzen Verkehr entschlüsseln. So auch bei mir, sobald der PassGenerator geknackt ist, sind alle Datein die mit dessen Passwörter verschlüsselt sind - futsch bzw. geknackt. Also wie gesagt ich bin kein Crypto-experte und habe das Tool aus Spaß geschrieben, aber so verstehe ich das.


* - ich übertreibe ein bisschen.

Du erzeugst Passwörter via Zufallsgenerator (Random). Die Resultate eines sog. Zufallsgenerators sind aber stets nachvollziehbar, vielleicht nicht für dich oder mich, aber für Spezialisten, die die erzeugten Muster analysieren können. Um die Erzeugung von Passwörtern via Random zu umgehen, könnte man z.B. willkürliche Mausbewegungen des Benutzers dazu heranziehen.

Schau dir doch diesen Thread im Delphi-Treff mal an, dort war ich, als ich mich mit Passwortgenerierung zu befassen begann, im Grunde genau so begriffstutzig wie du jetzt

Der Angreifer müsste folgendes wissen:
1. Welche Parameter habe ich eingestellt
2. Wie oft habe ich auf "Generieren" geklickt
3. Was war mein Seed
4. Er müsste wissen dass ich mein Passwort mit diesem Programm erzeugt habe

glaube kaum dass das alles (so einfach) herauszufinden ist. Und wenn ja dann ist ein Bruteforce Angriff im Durchschnitt wahrscheinlich einfacher als an all diese Infos zu kommen.

Und genau das kann man, wenn man das Programm hat. Nennt sich reengeneering oder so und läuft darauf hinaus, die Exe zu dekompilieren. Wird im Zusammenhang mit Wirtschaftsspionage häufig gemacht.

Habe die Version 0.3 mit folgenden Änderungen hoch geladen.

17.02.2014 Version 0.3
- Einstellungen werden autom. in eine .xml-Datei gespeichert
- "Generieren"-Button wird Zufällig x-Mal im Hintergrund betätigt
- das Passwort wird am Ende nach Zufall gemischt
- die ausgewählten Anforderungen an das Passwort werden immer erfüllt (vorher waren sie optional, obwohl ausgewählt)
- Bug aus der Antwort #61 beseitigt