Hallo,
ich suche einen sicheren(!) passwort Generator. Sicher heißt hier, dass nicht einfach ein srand(time()) genommen wird, und dann n mal 'a'+rand()%('z'-'a'+1). Hat jemand dazu vielleicht ein paar gute Links mit ggf. open source programmen?
Danke

Was soll man den sonst machen? Egal welche Tricks man anstellt, am Ende ist alles eh nur pseudo, da es keinen echten Random-Generator im PC gibt.

Mir faellt grade ein das Intel mal einen echten thermischen Random-Generator im Chip hatte, haben das moderne CPUs immernoch?

Inwiefern ist das vorhersagbar?

Wie sieht das aus, wenn man einen Zufallsgenerator macht, der aus mehreren Threads besteht, die unkoordiniert auf den gleichen Daten operieren?

Inwiefern ist das vorhersagbar?

Musst halt den Scheduler des OS kennen und wissen, was da sonst noch läuft.

Putty Keygen erstellt Schlüssel mit der Mausbewegung des Nutzers.

Ein Passwort kann "sicher" sein, aber ein Passwort-Generator soll einfach nur ein möglichst "sicheres" Kennwort generieren.

Ob das Passwort "asdkJ§424:J"§ -fwENFLaew3.-24243 J34_.ÖLM"%34&§&346. n3KR §!"!"984 01fnädsnfs-G a" nun wirklich zufällig generiert wurde, oder eben nach einem Algorithmus mit Pseudo-Zufallszahlen (die immer noch alles andere als ohne Weiteres ein zweites Mal erzeugbar wären), ist im Hinblick auf einen potentiellen Cracker, der das Passwort nicht kennt, doch ziemlich irrelevant?

Abgesehen davon:
Bevor man seine Zeit investiert, ach so sichere PW-Generatoren haben zu wollen, sollte man den Leuten erstmal beibringen, diese ach so sicheren Passwörter nicht beim ersten Login durch den Namen ihres Haustieres, ihres Geburtsortes, durch ihr Geburtsdatum oder "123123" zu ersetzen. Das würde für die Sicherheit wirklich etwas bringen ...

Soviel von mir

Wer seine User zwingt, zu komplizierte lange Passphrases zu verwenden, der sorgt normalerweise nur dafür, dass sich diese dann ihre Passwörter auf einen Post-it-Zettel am Monitor schreiben.

Wer seine User zwingt, zu komplizierte lange Passphrases zu verwenden, der sorgt normalerweise nur dafür, dass sich diese dann ihre Passwörter auf einen Post-it-Zettel am Monitor schreiben.

besser als solche Passwörter die in einem Wörterbuch stehen. Ich habe auch viele Passwörter auf Zetteln. Aber die müssen schon extra geklaut werden und nicht nur zufällig geknackt.

Was meint ihr wie viele user@arcor.de sonst einfach "arcor" als Passwort hätten.

nman schrieb:

Wer seine User zwingt, zu komplizierte lange Passphrases zu verwenden, der sorgt normalerweise nur dafür, dass sich diese dann ihre Passwörter auf einen Post-it-Zettel am Monitor schreiben.

besser als solche Passwörter die in einem Wörterbuch stehen.

Aussprechbare Passwörter kann man auch automatisch generieren lassen, z.B. mit dem oben genannten "apg". Die stehen dann nicht im Wörterbuch.

Ich erstelle lieber aussprechbare Passwörter oder Passwörter, die weder "0" noch "O" bzw. weder "1" noch "l" noch "I" beinhalten.

Wozu soll den das gut sein? Auf einer Tastatur erkennst du doch wohl den Unterschied zwischen O und 0 oder 1 und I. In dem Eingebafeld stehen doch eh nur **** oder ..... oder gar nichts.

Wer seine User zwingt, zu komplizierte lange Passphrases zu verwenden, der sorgt normalerweise nur dafür, dass sich diese dann ihre Passwörter auf einen Post-it-Zettel am Monitor schreiben.

Das ist doch super. Besser ein super kompliziertes Password das auf einem Zettel steht und auf dem Monitor neben dem PC geklebt wird, als ein total einfaches das man sich merken muss. Wenn man physikalischen Zugriff zum PC hat nutzen eh keine Passwoerter mehr und einen Zettel kann man nicht "hacken".

Am besten ist sowieso einen Schrank der mit einem Schloss gesichert ist, in dem die Passwoerter als Zetteln aufbewahrt werden. So koennen keine Unbefugte die Passwoerter einsehen und man muss sich selber keine Passwoerter merken.

Vor allem: Was soll das bringen?

Ein Passwort kann "sicher" sein, aber ein Passwort-Generator soll einfach nur ein möglichst "sicheres" Kennwort generieren.

Eine Verschluesselung gilt dann als sicher, wenn man sie nur mit Hilfe des Passwords knacken kann. Deswegen ist die sicherste Verschluesselung nur dann sicher, wenn man das Password nicht erraten kann.

Deswegen gabs doch diesen "Skandal" als sich herrausgestellt hat das OpenSSH wegen eines Programmier-Fehlers sehr "unzufaellige" Schluesseln generierte.
http://archive.cert.uni-stuttgart.de/win-sec-ssc/2008/05/msg00065.html

DrGreenthumb schrieb:

nman schrieb:

Wer seine User zwingt, zu komplizierte lange Passphrases zu verwenden, der sorgt normalerweise nur dafür, dass sich diese dann ihre Passwörter auf einen Post-it-Zettel am Monitor schreiben.

besser als solche Passwörter die in einem Wörterbuch stehen.

Aussprechbare Passwörter kann man auch automatisch generieren lassen, z.B. mit dem oben genannten "apg". Die stehen dann nicht im Wörterbuch.

Genau sowas meinte ich natürlich auch.

DEvent schrieb:

Wozu soll den das gut sein? Auf einer Tastatur erkennst du doch wohl den Unterschied zwischen O und 0 oder 1 und I. In dem Eingebafeld stehen doch eh nur **** oder ..... oder gar nichts.

Aber in Password-Safes aller Art nicht. Und wenn automatisierte Passwort-Reset-Mails verschickt werden, sollte man das auch ablesen können und …

Wer seine User zwingt, zu komplizierte lange Passphrases zu verwenden, der sorgt normalerweise nur dafür, dass sich diese dann ihre Passwörter auf einen Post-it-Zettel am Monitor schreiben.

Das ist doch super. Besser ein super kompliziertes Password das auf einem Zettel steht und auf dem Monitor neben dem PC geklebt wird, als ein total einfaches das man sich merken muss. Wenn man physikalischen Zugriff zum PC hat nutzen eh keine Passwoerter mehr und einen Zettel kann man nicht "hacken".

Nein, das ist Mist:

• Die Rechner der User sind nicht so gut gesichert, wie der Serverraum. Zum Serverraum bekommt niemand Zugriff, zum Rechner der User hingegen schon. Ich möchte aber trotzdem nicht, dass jeder im Vorbeigehen die Passwörter ablesen kann. Schon gar nicht bei Referaten mit regelmäßigem Parteiverkehr oä.
• Bei verschlüsselten Festplatten trifft das auch nicht zu; physikalischer Zugriff heißt da noch lange nicht, dass man auch Zugang zu den Daten hat.

Am besten ist sowieso einen Schrank der mit einem Schloss gesichert ist, in dem die Passwoerter als Zetteln aufbewahrt werden. So koennen keine Unbefugte die Passwoerter einsehen und man muss sich selber keine Passwoerter merken.

Furchtbar. Was machst Du denn dann, wenn mal jemand Zugriff zu diesem Schrank bekommt und Du nichtmal mehr die eigenen Passwörter weißt, um sie schnell zu ändern?

Eine Verschluesselung gilt dann als sicher, wenn man sie nur mit Hilfe des Passwords knacken kann. Deswegen ist die sicherste Verschluesselung nur dann sicher, wenn man das Password nicht erraten kann.

Deswegen gabs doch diesen "Skandal" als sich herrausgestellt hat das OpenSSH wegen eines Programmier-Fehlers sehr "unzufaellige" Schluesseln generierte.
http://archive.cert.uni-stuttgart.de/win-sec-ssc/2008/05/msg00065.html

Wenn sich die Passwortmenge aufgrund ein paar simpler Regeln auf ein Drittel reduziert, diese Regeln meine User dafür aber davon abhalten, sich das Passwort aufzuschreiben, dann ist das schon recht gut. Brute-Force-Cracks kann ich sehr leicht unterbinden, abgelesene Passwörter kaum.

Lasst ihr (Admins) über die Passwörter eurer Benutzer regelmäßig Passwortknacker drüber laufen?

Ich hatte mal ein Setup, bei dem Usern mit geknackten Passwörtern automatisch der Account gesperrt wurde und denen dann bei Loginversuchen eine Nachricht ausgegeben wurde, sie mögen sich doch bitte bei ihren freundlichen Admins melden.

War recht nett, vielleicht reaktiviere ich das wieder, wenn ich ein wenig Zeit habe, mal sehen.