Mit dem Standard Zufallszahlengenerator von Delphi kann es das eben nicht weil allein schon die Anzahl der möglichen Zustände zu gering ist.
Man braucht also schon einen PNRG mit entsprechend grosser Periodenlänge.
Zum Beispiel Well-1024a oder Mersenne-Twister:
http://www.delphipraxis.net/175061-w...generator.html

Damit erzeugt man also mehr oder weniger sichere Passwörter?

http://xkcd.com/936/ (wurde zwar neulich erst verlinkt, ich habe den Thread aber nicht wiedergefunden)

Zum erzeugen sicherer Passwörter, braucht man einen kryptographisch sicheren Zufallszahlengenerator, wie z.B Yarrow oder ISAAC. Der muss dann auch noch gescheite Seeds bekommen. Das schützt dich aber immer noch nicht vor zufällig schlechten/schwachen Passwörtern. Um das zu vermeiden, musst du die Entropie des Passwortes bestimmen. Dazu gibt es einiges hier im Forum.

Zu guterletzt bringt dir das aber alles nichts, weil du den Source noch nicht veröffentlicht hast. Wie gesagt, Crypto ohne Source ist Käse, weil selbst der kleinste Fehler fatale Auswirkungen haben kann.

Den braucht man nur wenn man größere Datenmengen in Umlauf bringt.
Dann kann der Angreifer nämlich Rückschlüsse auf den inneren Zustand des PRNG ziehen und die weitere Zufallsfolge berechnen.
Da aber Passwörter doch relativ kurz sind ist der Rückschluss auf den inneren Zustand nicht möglich.
Wichtig bei jedem Zufallsgenerator ist natürlich das Seeding; aber das gilt ganz unabhängig davon ob der PRNG als kryptographisch sicher gilt oder nicht.

Würde man mit einem nicht kryptographisch sicheren PRNG sehr viele Passwörter erzeugen und der Angreifer hätte einige aufeinanderfolgende Passwörter in die Finger bekommen dann bestünde die Gefahr, dass er auch die nachfolgenden Passwörter errechnen kann.

Ja, genau. Darum braucht man für ein solches Tool auch einen kryptographisch sicheren Zufallszahlengenerator.

Klasse.

Der beste Passwortgenerator, den ich kenne, ist 32cm lang und nennt sich "meine Katze". Die lasse ich einfach über meine Tastatur laufen. Aus dem Kauderwelsch nehme ich mir dann einen Teil, der möglichst bescheuert ist, und beim Aussprechen Kiefern- und Zungenkrämpfe verursacht.

Alternativen? Mein Sohn ist zu alt, da würde die Tastatur zerbröseln. Ach, ich kann auch drei Schnäpse trinken und dann versuchen, das Ave Maria abzuschreiben, oder Tastaturschlagzeug spielen. Ziemlich schwer zu knacken, so ein Kennwort, solange man nicht die Sequenz à la 'asdfasdfasd' extrahiert.

Wozu sollte ein Kennwortgenerator bloß gut sein? Eine Kennwortdatenbank macht da schon viel mehr Sinn, denn wenn man es richtig machen will, müsste man ja für jeden Account ein eigenes Kennwort haben. Das kann sich nur keine Sau merken, denn jede Eselsbrücke wäre ja auch knackbar.

Hach, es ist schon ein Kreuz mit der paranoiden Störung. Kann Einem ganz schön den Tag versauen.

Das Blöde an jeder Sicherung ist ja, das man auch daran vorbeilaufen kann. Ist die Tür doppeltgesichert und mit Panzerstahl versehrt? Breche ich die Wand auf oder gehe gleich durchs Fenster. Ist das Kennwort oberkryptisch? Greife ich das über die Tastatur ab.

Leute, solange man nicht '12345' oder 'Kennwort' verwendet, ist das doch vollkommen Wurscht. Die Gefahr geht in erster Linie von den nicht 100% sicheren Websites aus.

Das ist so, als ob man sein Geld auf eine Bank bringt, deren Tresorraum mit einer Holztür verschlossen ist und der Safe hat die Form, Haptik, Gewicht und das Aussehen eines Schuhkartons.

Ok, und die großen Websites bauen eine mächtige Stahlbetonwand davor, damit wir uns sicher fühlen. Von hinten betrachtet ist das aber trotzdem nur eine Bruchbude mit Schuhkarton.

Wobei ich nichts gegen die rein technisch-mathematischen Aussagen bezüglich potentieller Angriffe gesagt haben will. Aber -bitte- die NSA, BND u.a. gehen doch nicht so vor. Brauchen die nicht. Die gehen durch den Personaleingang. Und so manche Bande von Kriminellen gleich mit.

So... hab jetzt eine etwas verbesserte Version hoch geladen und den Quellcode. )))

Geschrieben wurde die Anwendung in Lazarus mit dem Mersenne-Twister Zufallszahlengenerator.

Warte auf Euer Feedback. )))