Passwortgenerator - und die Installation

[Miksch]

Hallo Forum,

ich meine mich zu erinnern mal etwas von dem Programm "Secure pwgen" oder "Secure Password Generator" gehoert zu haben. Das soll noch "sicherere" Passwoerter als "pwgen" erzeugen.
Ich habe schon eine ganze Weile danach im Netz gesucht, aber bin nicht fuendig geworden.
Kann mir bitte jemand sagen, ob ich da einem Irrtum hinterher laufe, oder ob es das gesuchte Programm wirklich gibt, und wenn wie es richtig heisst?

TIA und viele Gruesse,
Miksch

[Six]

secpwgen

[rendegast]

(Nach irgendeinem Artikel ist Länge wichtiger als Randomness)

Code: Alles auswählen

$ pwgen 15
hie0eheeCei8hah eP8oosai6Quah2p neequ2Ohkailien AePh3ooqu0bahng ingoobei2ooPo1A

$ pwgen -s 15
xZWIcm8D1SK4SPY IvpNOuWj8Xo9PwG iEZVz2VtAP7Yrey 5AQu6LzIgpKJrTA v0eeaCTAzdXfFc1

(Mein Doppelkern hat mehrere Tage mit john gerechnet, um ein 7stelliges Passwort zu knacken)

[KBDCALLS]

secpwgen

Ob der noch Uptodate ist ? Seit 2008 dürfte sich da einiges getan haben, was Programm nocht nicht beherscht. Wobei pwgen auch nicht aktueller sondern noch älter ist.

[rendegast]

was Programm nocht nicht beherscht.

Was ist daran so schwierig, sinnlose Buchstaben aus random aneinanderzusetzen?

[TobiSGD]

(Mein Doppelkern hat mehrere Tage mit john gerechnet, um ein 7stelliges Passwort zu knacken)

So was macht man doch heute mit Grafikkarten oder mietet sich Rechenzeit bei Amazon.

[Six]

(Nach irgendeinem Artikel ist Länge wichtiger als Randomness)

Das liegt doch auf der Hand. Länge des Wortes und die Anzahl der Zeichen im Alphabet sind die alles entscheidenden Faktoren. Ob die Zeichen nun besonders zufällig ausgewählt werden spielt da keine Rolle.

[Miksch]

@all
Vielen Dank! Ich werde es mir anschauen.

Viele Gruesse,
Miksch

[mindX]

In diesem Zusammenhang evtl. auch ganz interessant, der "Password Strength Checker":
https://www.hammerofgod.com/passwordcheck.aspx

[123456]

Was ist daran so schwierig, sinnlose Buchstaben aus random aneinanderzusetzen?

Das sehe ich auch so. Eigen Zusammengebautes kann man sich im Gegensatz zu Generiertem auch leichter merken. Die PW Generatoren sind doch was für Faule.

Länge des Wortes und die Anzahl der Zeichen im Alphabet sind die alles entscheidenden Faktoren. Ob die Zeichen nun besonders zufällig ausgewählt werden spielt da keine Rolle.

Ähm die Anzahl der Buchstaben im Alphabet ist: 26. das ist wohl kaum entscheidend. Ein sicheres Passwort sollte immer aus Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen bestehen. Natürlich spielt es eine Rolle ob die Zeichen zufällig ausgewählt sind. Das hilft gegen Wörterbuchattacken. Die Länge sollte IIRC grösser 20 sein, manche sagen 24, das hilft gegen Brute-Force.

Ansonsten wie oft hilftreich: http://de.wikipedia.org/wiki/Passwort

[Six]

Länge des Wortes und die Anzahl der Zeichen im Alphabet sind die alles entscheidenden Faktoren. Ob die Zeichen nun besonders zufällig ausgewählt werden spielt da keine Rolle.

Ähm die Anzahl der Buchstaben im Alphabet ist: 26. das ist wohl kaum entscheidend. Ein sicheres Passwort sollte immer aus Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen bestehen. Natürlich spielt es eine Rolle ob die Zeichen zufällig ausgewählt sind. Das hilft gegen Wörterbuchattacken. Die Länge sollte IIRC grösser 20 sein, manche sagen 24, das hilft gegen Brute-Force.

Selber "Ähm"! Das ist echt in die falsche Ecke geklugscheißert. Mach dich mal schlau, was Alphabete eigentlich sind.

[uname]

Alles nur eine Frage der Entropie (möchte auch mal klugscheißen). Obwohl so viel hat es mit Entropie nun auch nicht zu tun.

[123456]

Selber "Ähm"! Das ist echt in die falsche Ecke geklugscheißert. Mach dich mal schlau, was Alphabete eigentlich sind.

das habe ich natürlich vorher...
http://de.wikipedia.org/wiki/Deutsches_Alphabet
du kannst natürlich auch das lateinische nehmen.

[Six]

Nice try, weasel boy, but not good enough.

[123456]

wie wärs denn wenn du mal langsam mit Fakten kommst?
oder möchtest du nur nerven?
bin weg.

[Miksch]

Hallo Ihr,
vielen Dank fuer Eure Hilfe so weit.
Ich habe eine weitere Frage zu secpwgen. Gibt es ein HowTo dafuer?
Ich habe naemlich den "Makefile.proto" in ein neu angelegtes Verzeichnis "makefile" kopiert, anschliessend die Anpassungen fuer mein System vorgenommen. Der Einfachheit halber habe ich "OpenSSL" eingestellt.
...aber wie kann ich den Code jetzt kompilieren? Mit dem "ueblichen Dreisatz" komme ich nicht weiter.

TIA und viele Gruesse,
Miksch

[Six]

Lieber ub13, wenn du weniger blöd daher gekommen wärst, dann hätte ich dich auch nicht so auflaufen lassen.
https://secure.wikimedia.org/wiktionary ... i/Alphabet
https://secure.wikimedia.org/wikipedia/ ... %A4rung%29 insb. https://secure.wikimedia.org/wikipedia/ ... ormatik%29

Um es kurz zu machen: ein Alphabet ist eine Menge von unterscheidbaren Zeichen. Die deutsche Sprache benutzt ein modifiziertes lateinisches Alphabet SIGMA(Ger) ={a, .., z, A, .., Z, ü, Ü, ö, Ö, ä, Ä, ß}, also 59 Zeichen. Das Alphabet der Binärziffern ist die Menge SIGMA(Dual)={0,1}, also zwei Zeichen. Über diese Alphabete kann man je nach Regelsatz Wörter bilden, so gibt es im Deutschen z. B. keine Wörter mit weniger als zwei Zeichen.

Für Passwörter ist das nicht wichtig, weil es keine Wortbildungsregeln gibt. Wichtig ist, dass die Mächtigkeit von SIGMA die Potenzbasis und die Anzahl der Stellen des Wortes (die Länge) den Exponenten stellen, um die Anzahl der Permutationen bei gegebener Länge n zu berechnen. Nennen wir die Länge unseres Passwortes n(max), dann muss ein brute-force Angriff maximal SIGMA^n(max)! Permutationen durchtesten. Und das ist völlig unabhängig davon, ob die Zeichenfolge nun zufällig ermittelt wurde oder nicht.
Dictionary Angriffe bleiben so natürlich eine Gefahr, aber ab einer gewissen Länge wird auch das vernachlässigbar. Clevere Varianten konkatenieren zwar Worte; so ist "bluedog" [1] rechnerisch bereits sicherer als "3xA!" [2], aber würde einem schlauen Angreifer sicher unterliegen. Anders sieht es mit "meinetanteernassaeuftschnapsnurimstehen" [3] aus

Also: Alphabet möglichst groß (ASCII sind z. B. 94 nutzbare Zeichen) und Wort möglichst lang.

[1] 26^7! Entropie ca. 33bits
[2] 94^4! Entropie ca. 24bits
[3] 26^38! Entropie ca. 86bits

[whisper]

"meinetanteernassaeuftschnapsnurimstehen"

Danke für deine Information!
Was mir auffällt.
Warum sind in Beispielen nie Leerzeichen?


Was spricht gegen eine Passphrase wie "100 Kg Lebendgewicht, und alle machen Platz!" ?

[Six]

"meinetanteernassaeuftschnapsnurimstehen"

Danke für deine Information!
Was mir auffällt.
Warum sind in Beispielen nie Leerzeichen?


Was spricht gegen eine Passphrase wie "100 Kg Lebendgewicht, und alle machen Platz!" ?

Gute Frage. Auf die Schnelle würde ich sagen: nichts.

[cosmac]

Security
First of all, a warning: as recommended on the diceware site, NEVER actually put spaces between individual words of the generated passphrase. On many keyboards the space key has very distinctive sound which makes possible for the attacker to learn the number of has very distinctive sound which makes possible for the attacker to learn the number of words and possibly the number of letters in each word (in correct order). These facts divulge much information and make passphrase easier to guess.

An was alles man denken muss

[rendegast]

40^8 ~~ 23^15

8^10 ~ 10 * 10^8

[whisper]

... (Leerzeichen machen andere Tastgeräusche)
An was alles man denken muss

Ohh, tja. wenn man beobachtet wird.