Bei meiner Funktion muß man immer eines bedenken, nämlich WAS gilt heutzutage als sicheres Passwort ?

Die Antwort ist:

ein mindestens 128 Bit langes Passwort das statistisch aus Zufallsähnlichen Daten besteht.

Gehen wir aber mal vom Menschlichem Input aus dann ergeben sich mehrere Probleme:

1.) der Mensch gibt sinnvolle Wörter ein
2.) der Mensch beschränkt sich auf durchschnittlich nur 36 Zeichen aus einem Zeichensatz von 256 möglichen Zeichen. Die Entropie der Passwörter ist also nur 3.6 statt 8.
3.) der Mensch nimmt sehr gerne Passwörter die identisch mit dem Tastaturlayout sind,zb. 1234567890 oder qwertz

Das heist nun der Algorithmus muß die Passwörter clever gewichten.

Ein Passwort wie P$[ mit 3 Zeichen muß aber immer schlechter als ein Passwort wir "aaaa" mit 4 Zeichen bewertet werden. Denn eine Brute Force Attacke beginnt meistens mit 1 Zeichen, a 256 Möglichkeiten, dann 2 Zeichen mit 256 * 256 Möglichkeiten dann 3 mit 256*256*256 und eben 4 mit 256*256*256*256. Ergo: das längere Passwort muß egal wie es aussieht sicherer sein.

Nun zur Entropie: wenn wir ein Passwort haben wollen das so sicher ist wie ein 128 Bit langes Passwort das per quasi zufällig erzeugt wurde aber aus deutschen/englishen Wörtern besteht dann muß diese Passwort ca. 128 * 8 / 3.6 = 285 Bits = 36 Zeichen bestehen. Meine Funktion rechnet aber mit einem 10 Zeichen Passwort schon als ein gutes Passwort. Ergo: wenn die Funktion es wirklich richtig machen wollte dann würde sie fast alle menschlichen Passwörter als sehr miserabel einstufen müssen. Ich habe also die Funktion schon stark abgeschwächt.

Und nochwas: diese Funktion dient ausschließlich zur Qualifizierung eines menschlichen Passwortes. Bei einem quasi zufälligen Maschinenpasswort das mit einer Hash Funktion erzeugt wurde ist diese Funktion sinnlos.

Gruß Hagen