Re: Passwort auf Sicherheit prüfen
 

Dies ist eigentlich nicht nötig. Die Zahlen liegen auf dem Keyboard dicht beieinander und auch im ASCII Code liegen sie dicht beieinander.
D.h. beide Funktionen "KeyDiff" und "Differency" würde ein Passwort das aufeinanderfolgende Zahlen enthält schlechter bewerten.
Z.b. "Test0123" sollte schlechter bewertet werden als "T0e1s2t3" und dieses schlechter als "T2s0e1t3".
Zahlen ansich im Passwort erhöhen dessen Qualität, gegenüber Passwörtern die nur Buchstaben benutzen.
Natürlich ist das Geburtsdatum die allerschlechteste Wahl, aber das ist eine andere Diskussion über Wissensbasierte Angriffsmethoden.

Gruß Hagen

Re: Passwort auf Sicherheit prüfen
 

Wird sofort getan und vorgemerkt ;-)

...:cat:...

Re: Passwort auf Sicherheit prüfen
 

Übrigens, wer sich fragt warum

benötigt wird, hier die Erklärung.
Es gibt 256 verschiende Zeichen im ASCII Zeichensatz, 256 / 64 = 4.
Normalerweise hat englischer Text eine Entropy von 3.6 Bits pro 8 Bit Zeichen. D.h. englischen Text basierend auf dem ASCII Zeichensatz lässt sich mit ca. 222% komprimieren. Damit wäre ein normales englisches 36 Zeichen Wort nur so sicher wie ein 10 Bytes Speicherrecord der mit echten Zufallszahlen befüllt wurde. Um dieser Entropy Rechnung zu tragen wird mit 64 dividiert.

"Unknackbare" Passwörter sollten ca. 128 Bit lang sein und per Zufall erzeugt werden und nur einmal Verwendung finden 8)

Um mit obiger Funktion gute Passwörter zu erzeugen muß man schon sehr lange Phrasen, Gedichte, Ferse o.ä. eingeben. D.h. ich habe die Parameter so eingestellt das sich ein relativ guter Vergleich zu den geforderten 128Bit Zufallspasswörtern ergibt.


@sakura: danke :-)

Gruß Hagen

Re: Passwort auf Sicherheit prüfen
 

Verwechselst du da nicht Passphrase (aus der ein Schlüssel erzeugt wird) und Password (welches direkt als Zugangsauthentifizierung gilt)?

BTW: Ich stamme aus dem selben Teil Deutschlands :) ... siehe meine Signatur. Aber verziehen ist es natürlich :mrgreen:

Re: Passwort auf Sicherheit prüfen
 

Es gibt eigentlich keine offizielle Definition was ein Passwort und was eine Passphrase ist. Normalerweise bezeichnet man ein Text der aus einem Wort besteht als Passwort und ein Text, z.b. Zitat, Gedicht usw. als Passphrase.

Konvertierte Passwörter, z.b. mit obengenannter Hashfunktion, bezeichnet man als Sessionkey. Meistens wird eine MGF = Mask Generation Function dazu benutzt um das textbasierte Passwort/Passphrase, plus einem zufällig oder serverseitig vorgeschriebenen Seed, mit Hilfe einer Einwegfunktion (Hash), in einen Sessionkey zu verwandeln.
Es gibt verschiedene Ansätze für dieses Problem, z.b. OTP, S/Key, UNIX Crypt usw. Die einen nutzen Verschlüsselungen die das Passwort mit sich selber verschlüsseln, die anderen preferieren Einwegfunktionen. Ich persönlich nutze dafür ausschließlich Einwegfunktionen. Da man nichts entschlüsseln kann was nicht zu entschlüsseln geht, eben Einweg.

Gruß Hagen

Re: Passwort auf Sicherheit prüfen
 

Der OffTopic-Teil ist hier zu finden http://www.delphipraxis.net/viewtopic.php?t=7079

...:cat:...

Re: Passwort auf Sicherheit prüfen
 

Wird in der Funktion nicht vergessen, zu bewerten ob Groß- Kleinbuchstaben durcheinander sind, oder nur kleine usw?

Mag unter Windows zwar keine Rolle spielen, aber im Web auf jeden Fall!

Re: Passwort auf Sicherheit prüfen
 

Nein wird nicht vergessen. Die Methode überprüft die Häufigkeit der Zeichen, deren Abstand im ASCII Zeichensatz zueinander und deren Abstand auf QWERTZ Keybords untereinander. D.h. ein Key wie "ABCDEF" oder "QWERTZ" wird schlechter bewertet. Ein Passwort wie "AaBbCc" ist dagegen schon besser. Im Grunde müsste es sogar so sein das ein Passwort wie "AfKtMp" relativ gut ist, denn welcher Mensch nutzt zur Passworteingabe intensiv die Shift Taste ?

Wer sich nicht sicher ist wie meine Funktion arbeitet sollte sie mal mit verschiedenen Passwörtern austesten und die Resultate vergleichen.

Generell kann es keine Funktion geben die bestimmt ob ein Passwort gut oder schlecht ist. Selbst ein Passwort aus echten Zufallsdaten mit 32 Bytes Länge kann enorm schlecht sein, nämlich wenn es geknackt wurde !

D.h. um lange Passwörter sehr schnell zu knacken muß der Angreifer von vornherein sich auf eine Auswahl von möglichen Keys beschränken. Alle möglichen Paswörter kann er nicht durchprobieren da dies bei guten Verschlüsselungen technisch nicht durchführbar ist. Somit sollte ein Passwort lang sein und möglichst resistent gegen "Vermutungen" sein. Am besten ein kurzer Satz mit Ziffern, Sonderzeichen und absolut schwachsinnigem Inhalt.

Ein sehr gutes Passwort sollte nur einmal verwendet werden.

Gruß Hagen

Re: Passwort auf Sicherheit prüfen
 

Komisch, vor allem daher, weil ich mehrere Passwörter getestet habe. Mit dutzenden Groß, klein kombis. Fast immer kam auf die letzte Nachkommastelle das gleiche Ergebnis

Re: Passwort auf Sicherheit prüfen
 

Das ist auch korrekt so, denn primär entscheidet erstmal die Länge des Passwortes ob es gut oder schlecht ist. D.h. ein langes Passwort muß viel mehr gewichtung erhalten als ein kurzen Passwort. Ein um 1 Zeichen längeres Passwort sollte niemals schlechter bewertet werden als ein kombinatorisch gesehen besseres aber kürzeres Passwort.
Jedes Zeichen mehr in einem Passwort erhöht dessen Entropie um 3,5 Bits. Dies ist primär stärker zu gewichten als die Kombinationsvielfalt der Buchstaben im Passwort.

Gruß Hagen