AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Passwort auf Sicherheit prüfen

Ein Thema von MrKnogge · begonnen am 7. Jul 2003 · letzter Beitrag vom 12. Mai 2011
Antwort Antwort
Seite 2 von 3     12 3      
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#11

Re: Passwort auf Sicherheit prüfen

  Alt 8. Jul 2003, 13:27
Zitat:
Könnte man nicht noch miteinbinden, ob Zahlen im Passwort enthalten sind, und wenn ja ob diese einfach nur hintendran gehängt wurden oder "mitten im Passwort" stehen ?
Dies ist eigentlich nicht nötig. Die Zahlen liegen auf dem Keyboard dicht beieinander und auch im ASCII Code liegen sie dicht beieinander.
D.h. beide Funktionen "KeyDiff" und "Differency" würde ein Passwort das aufeinanderfolgende Zahlen enthält schlechter bewerten.
Z.b. "Test0123" sollte schlechter bewertet werden als "T0e1s2t3" und dieses schlechter als "T2s0e1t3".
Zahlen ansich im Passwort erhöhen dessen Qualität, gegenüber Passwörtern die nur Buchstaben benutzen.
Natürlich ist das Geburtsdatum die allerschlechteste Wahl, aber das ist eine andere Diskussion über Wissensbasierte Angriffsmethoden.

Gruß Hagen
  Mit Zitat antworten Zitat
Benutzerbild von sakura
sakura

Registriert seit: 10. Jun 2002
Ort: Unterhaching
11.412 Beiträge
 
Delphi 12 Athens
 
#12

Re: Passwort auf Sicherheit prüfen

  Alt 8. Jul 2003, 13:42
Zitat von negaH:
@sakura: wäre nett wenn das "negaH" in Hagen umgewandelt wird Leider war Hagen als Name schon vergeben.
Wird sofort getan und vorgemerkt

......
Daniel Lizbeth
Ich bin nicht zurück, ich tue nur so
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#13

Re: Passwort auf Sicherheit prüfen

  Alt 8. Jul 2003, 13:49
Übrigens, wer sich fragt warum

if L <> 0 then L := L / 64; benötigt wird, hier die Erklärung.
Es gibt 256 verschiende Zeichen im ASCII Zeichensatz, 256 / 64 = 4.
Normalerweise hat englischer Text eine Entropy von 3.6 Bits pro 8 Bit Zeichen. D.h. englischen Text basierend auf dem ASCII Zeichensatz lässt sich mit ca. 222% komprimieren. Damit wäre ein normales englisches 36 Zeichen Wort nur so sicher wie ein 10 Bytes Speicherrecord der mit echten Zufallszahlen befüllt wurde. Um dieser Entropy Rechnung zu tragen wird mit 64 dividiert.

"Unknackbare" Passwörter sollten ca. 128 Bit lang sein und per Zufall erzeugt werden und nur einmal Verwendung finden 8)

Um mit obiger Funktion gute Passwörter zu erzeugen muß man schon sehr lange Phrasen, Gedichte, Ferse o.ä. eingeben. D.h. ich habe die Parameter so eingestellt das sich ein relativ guter Vergleich zu den geforderten 128Bit Zufallspasswörtern ergibt.


@sakura: danke

Gruß Hagen
  Mit Zitat antworten Zitat
Gast
(Gast)

n/a Beiträge
 
#14

Re: Passwort auf Sicherheit prüfen

  Alt 8. Jul 2003, 13:57
Zitat:
Unknackbare" Passwörter sollten ca. 128 Bit lang sein und per Zufall erzeugt werden und nur einmal Verwendung finden
Verwechselst du da nicht Passphrase (aus der ein Schlüssel erzeugt wird) und Password (welches direkt als Zugangsauthentifizierung gilt)?

BTW: Ich stamme aus dem selben Teil Deutschlands ... siehe meine Signatur. Aber verziehen ist es natürlich
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#15

Re: Passwort auf Sicherheit prüfen

  Alt 8. Jul 2003, 14:06
Zitat:

Verwechselst du da nicht Passphrase (aus der ein Schlüssel erzeugt wird) und Password (welches direkt als Zugangsauthentifizierung gilt)?
Es gibt eigentlich keine offizielle Definition was ein Passwort und was eine Passphrase ist. Normalerweise bezeichnet man ein Text der aus einem Wort besteht als Passwort und ein Text, z.b. Zitat, Gedicht usw. als Passphrase.

Konvertierte Passwörter, z.b. mit obengenannter Hashfunktion, bezeichnet man als Sessionkey. Meistens wird eine MGF = Mask Generation Function dazu benutzt um das textbasierte Passwort/Passphrase, plus einem zufällig oder serverseitig vorgeschriebenen Seed, mit Hilfe einer Einwegfunktion (Hash), in einen Sessionkey zu verwandeln.
Es gibt verschiedene Ansätze für dieses Problem, z.b. OTP, S/Key, UNIX Crypt usw. Die einen nutzen Verschlüsselungen die das Passwort mit sich selber verschlüsseln, die anderen preferieren Einwegfunktionen. Ich persönlich nutze dafür ausschließlich Einwegfunktionen. Da man nichts entschlüsseln kann was nicht zu entschlüsseln geht, eben Einweg.

Gruß Hagen
  Mit Zitat antworten Zitat
Benutzerbild von sakura
sakura

Registriert seit: 10. Jun 2002
Ort: Unterhaching
11.412 Beiträge
 
Delphi 12 Athens
 
#16

Re: Passwort auf Sicherheit prüfen

  Alt 8. Jul 2003, 23:25
Der OffTopic-Teil ist hier zu finden http://www.delphipraxis.net/viewtopic.php?t=7079

......
Daniel Lizbeth
Ich bin nicht zurück, ich tue nur so
  Mit Zitat antworten Zitat
Schubi

Registriert seit: 4. Nov 2003
Ort: Happurg (Nürnberg)
331 Beiträge
 
Delphi 2006 Professional
 
#17

Re: Passwort auf Sicherheit prüfen

  Alt 18. Nov 2003, 13:38
Wird in der Funktion nicht vergessen, zu bewerten ob Groß- Kleinbuchstaben durcheinander sind, oder nur kleine usw?

Mag unter Windows zwar keine Rolle spielen, aber im Web auf jeden Fall!
Christian Schubert
Ich fange gerade erst an, den Umfang meiner Ahnungslosigkeit zu begreifen...
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#18

Re: Passwort auf Sicherheit prüfen

  Alt 18. Nov 2003, 15:17
Zitat:
Wird in der Funktion nicht vergessen, zu bewerten ob Groß- Kleinbuchstaben durcheinander sind, oder nur kleine usw?
Nein wird nicht vergessen. Die Methode überprüft die Häufigkeit der Zeichen, deren Abstand im ASCII Zeichensatz zueinander und deren Abstand auf QWERTZ Keybords untereinander. D.h. ein Key wie "ABCDEF" oder "QWERTZ" wird schlechter bewertet. Ein Passwort wie "AaBbCc" ist dagegen schon besser. Im Grunde müsste es sogar so sein das ein Passwort wie "AfKtMp" relativ gut ist, denn welcher Mensch nutzt zur Passworteingabe intensiv die Shift Taste ?

Wer sich nicht sicher ist wie meine Funktion arbeitet sollte sie mal mit verschiedenen Passwörtern austesten und die Resultate vergleichen.

Generell kann es keine Funktion geben die bestimmt ob ein Passwort gut oder schlecht ist. Selbst ein Passwort aus echten Zufallsdaten mit 32 Bytes Länge kann enorm schlecht sein, nämlich wenn es geknackt wurde !

D.h. um lange Passwörter sehr schnell zu knacken muß der Angreifer von vornherein sich auf eine Auswahl von möglichen Keys beschränken. Alle möglichen Paswörter kann er nicht durchprobieren da dies bei guten Verschlüsselungen technisch nicht durchführbar ist. Somit sollte ein Passwort lang sein und möglichst resistent gegen "Vermutungen" sein. Am besten ein kurzer Satz mit Ziffern, Sonderzeichen und absolut schwachsinnigem Inhalt.

Ein sehr gutes Passwort sollte nur einmal verwendet werden.

Gruß Hagen
  Mit Zitat antworten Zitat
Schubi

Registriert seit: 4. Nov 2003
Ort: Happurg (Nürnberg)
331 Beiträge
 
Delphi 2006 Professional
 
#19

Re: Passwort auf Sicherheit prüfen

  Alt 18. Nov 2003, 21:53
Komisch, vor allem daher, weil ich mehrere Passwörter getestet habe. Mit dutzenden Groß, klein kombis. Fast immer kam auf die letzte Nachkommastelle das gleiche Ergebnis
Christian Schubert
Ich fange gerade erst an, den Umfang meiner Ahnungslosigkeit zu begreifen...
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#20

Re: Passwort auf Sicherheit prüfen

  Alt 26. Nov 2003, 13:18
Das ist auch korrekt so, denn primär entscheidet erstmal die Länge des Passwortes ob es gut oder schlecht ist. D.h. ein langes Passwort muß viel mehr gewichtung erhalten als ein kurzen Passwort. Ein um 1 Zeichen längeres Passwort sollte niemals schlechter bewertet werden als ein kombinatorisch gesehen besseres aber kürzeres Passwort.
Jedes Zeichen mehr in einem Passwort erhöht dessen Entropie um 3,5 Bits. Dies ist primär stärker zu gewichten als die Kombinationsvielfalt der Buchstaben im Passwort.

Gruß Hagen
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 3     12 3      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:01 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz