Immer wieder wird man zur Eingabe von komplexen Passwörtern gezwungen. Sonderzeichen und Kombinationen, die sich kein normaler Mensch merken kann. Es soll ja sicher sein, dass da nicht jeder ran kommt. Doch genau da fängt das Folgeproblem an: Man muss dieses Passwort irgendwo aufschreiben und damit ist es schon nicht mehr sicher. Meine Idee: Man hat einen Passwort Generator, den beschreibt man mit ganz einfachen Buchstaben/Wörtern/Sätzen usw, die man sich relativ einfach merken kann und gibt dem ganze noch ein Pin Code. Das Programm errechnet dann dieses sichere Passwort. Diese Worte braucht man sich auch nicht aufschreiben, weil man diese sich einfach merken kann. Wenn man das sichere Passwort braucht, öffnet man PwdGen, gibt die Worte ein und erhält jedes mal wieder das sichere Passwort. Die Umsetzung: Pin Eingabe von 1..8 Ziffern 16 Eingabefelder für Texte, die man frei verwenden kann (oder leer lässt) Zeigen des Passworts (Maus drüber bewegen, extra features mit: Shift + Strg) Kopieren in die Zwischenablage Leeren, auch mit ESC Taste Test Funktion um heraus finden zu können wie viele identische Pin Codes der Code-Worte zum gleichen Passwort führen (Pin Test 0....9999). Passwort hat immer 16 Zeichen, immer mindesten 1 Groß/Klein/Zahl/Sonderzeichen. Keine Funktion zum Speichern der Eingaben, kein "Passworttresor", nur ein Generator für Passwörter. Download: Die EXE gibt es auf meiner Homepage www.elela.de unter Downloads > Neueste Builds > Tools > PwdGen.zip kostenlos zum Download. In der ReadMe im ZIP ist die Programmbedienung detaillierter beschrieben. Damit sind endlich die Komplexen Passwörter auch wirklich sicher. Nun kann man sich die einzelnen Codeworte zwar aufschreiben, jedoch ohne diese EXE und ohne das Wissen des Pins und ohne dass man weis in welcher der 16 Eingabefelder man die Worte aufschreibt kommt garantiert nicht das korrekte Passwort raus.
Angehängte Dateien:
-
PwdGen.png
3,9 KB
:
Bearbeitet durch User
Im Jahre 2026 hat es die Menschheit bereits geschafft, diverse Password Manager zu ersinnen.
ich generiere mir Passwörter aus einfachen Merksätzen, z.B.: "vor meiner Haustüre Nummer 12 steht ein grosser Baum" wird zu: vmH#12s1gB das ist mir sicher genug
Wegstaben V. schrieb: > ich generiere mir Passwörter aus einfachen Merksätzen, z.B.: > > "vor meiner Haustüre Nummer 12 steht ein grosser Baum" > > wird zu: vmH#12s1gB > > das ist mir sicher genug vmHa = ist mir zu unsicher;-) Markus M. schrieb: > (..) > Download: > Die EXE gibt es auf meiner Homepage www.. > Downloads > Neueste.. Nein, ich werde auch von dir keine .Exe laden und installieren. PW-Manager gibt es auch zu genüge.
26319 Builds für das Tool? Das ist wohl das beeindruckenste daran. Schwamm drüber. Wenn Dir das Tool für Dich hilft, dann schön. Super Sache. Hier wirst du allerdings nur wenige finden, die das für sich anwenden wollen. Erst recht bei so Dingen, wie Passwortmanagern, braucht man schon enorm viel Vertrauen in den Ersteller. Noch einfacher kommt man ja nie an Passwörter.
Braucht der Password-Manager eine Internetverbindung? :-))
Jörg R. schrieb: > Nein, ich werde auch von dir keine .Exe laden und installieren. Jörg R. schrieb: > PW-Manager gibt es auch zu genüge. Als wenn PM-Manager von Anderen nicht ausführbare Programme sind! ;-) Es ist aber schön zu sehen, das man komplett fremde Firmen, meistens im Ausland, mehr Vertrauen schenkt als dem Bürger im eigenen Land bzw Bundesland/Nachbarschaft. Kein Wunder das die Deutschen vor die Hunde gehen! Wohl dem, der eine zweite Staatsbürgerschaft hat ;-)
Ihr habt aber auch immer was zu meckern. Die Idee, das Passwort wirklich nirgends zu speichern, ist doch interessant. Nur wie funktioniert die Zuordnung Passwort zu Maschine/Anwendung? Ich muss inzwischen ca. 104 davon unterscheiden...
Jens K. schrieb: > Jörg R. schrieb: >> Nein, ich werde auch von dir keine .Exe laden und installieren. > > Jörg R. schrieb: >> PW-Manager gibt es auch zu genüge. > > Als wenn PM-Manager von Anderen nicht ausführbare Programme sind! ;-) > > Es ist aber schön zu sehen, Es ist schön zu sehen dass du weißt wer welchen PW-Manager benutzt, falls man überhaupt einen benutzt. Ich habe nur geschrieben dass es PW-Manager zu genüge gibt, weder in welcher Art, noch von welcher Firma. Ich habe ein System bei dem ich Passwörter bilde die ich mir merken kann, trotzdem für jede Anwendung unterschiedlich. Sicherheitshalber gibt es eine Liste in Papierform, die nicht am Kühlschrank hängt. Für einige Sachen nutze ich auch einen PW-Manager. > das man komplett fremde Firmen, meistens im > Ausland, mehr Vertrauen schenkt als dem Bürger im eigenen Land bzw > Bundesland/Nachbarschaft. Ach so, der Bürger im eigentlich Land ist automatisch vertrauenswürdig. Einem PW-Manager der z.B. Telekom würde ich mehr Vertrauen schenken als einer mir vollkommen unbekannten Person. > Kein Wunder das die Deutschen vor die Hunde gehen! Stuss zum Quadrat;-( > Wohl dem, der eine zweite Staatsbürgerschaft hat ;-) Eine chinesische?
:
Bearbeitet durch User
Angehängte Dateien:
-
PwdGen_Demo.png
29 KB
Hier mal Beispiele wie man zwischen verschiedenen Kunden/Anwendungen/Maschinen unterschiedliche Passwörter relativ einfach eingeben könnte. In diesem Beispiel habe ich den Pin auf 1111 gesetzt, wenn man bei anderen PC's die gleichen Texte eingibt, so erhält man das gleiche Passwort.
Bauform B. schrieb: > Ihr habt aber auch immer was zu meckern. JA! :-) Also nix gegen deine Arbeit und die Idee. Aber wer Wert auf Passwörter legt, überlegt sich auch, aus welcher Quelle so ein PwdGen kommt und was im Inneren genau passiert. Ja, auch von mir stammt dazu ein blöder Kommentar.
Mein Passwortmanager (bei dem die Passwörter mit einem Schlüssel auf einem als nicht kopier- und auslesbar geltendem Token und einer Passphrase geschützt werden und der dafür als einzige Begrenzung den Speicherplatz hat, btw.) zeigt bei sechzehn Zeichen in den Beispielen schon nicht mehr in jedem Fall die anzustrebende Passwortstärke an. Markus M. schrieb: > Hier mal Beispiele wie man zwischen verschiedenen > Kunden/Anwendungen/Maschinen unterschiedliche Passwörter relativ einfach > eingeben könnte. An dieser Stelle wäre der Code interessant, oder zumindest der verwendete Algorithmus. Gibt da ein paar Fallstricke, in denen sich Leute da gerne verfangen. Dann gibt’s z.B. Konstellationen, bei denen man aus einer Handvoll Passwörtern genug Informationen ziehen kann, um die Unterschiede der Passwörter auf wenige Bit Entropie einengen zu können. Jens K. schrieb: > Es ist aber schön zu sehen, das man komplett fremde Firmen, meistens im > Ausland, mehr Vertrauen schenkt als dem Bürger im eigenen Land bzw > Bundesland/Nachbarschaft. Deswegen gibt es eine Handvoll OSS-Passwortmanager, die mehr oder weniger als Standard gelten, und bei denen wirklich viele geschulte Augen draufschauen – weil Passwortmanager eben ein offensichtliches Angriffsziel sind. Das heißt nicht, dass die zangsläufig fehlerfrei sein würden – aber mehr Vertrauen als ’nem Binary, das irgendjemand in irgend’nem Forum abkippt, ohne ordentliche Doku und so, haben die vermutlich schon verdient …
Jack V. schrieb: > aber mehr Vertrauen als ’nem Binary, das irgendjemand in irgend’nem > Forum abkippt, ohne ordentliche Doku und so, haben die vermutlich schon > verdient … Nein. Aber Markus soll doch auch den Source reinstellen, dann kann sich jeder selber kompilieren. Aber auch dann finden noch manche ein Haar in der Suppe. Krank! Gruss Chregu
Eine closed-Source EXE als Passwort-Manager. Realsatire.
Klaus schrieb: > Eine closed-Source EXE als Passwort-Manager. Realsatire. Es gibt immer noch Leute, die denken "Geheime Sicherheitslücken sind sicher".
Beitrag #8025358 wurde von einem Moderator gelöscht.
Was ist eigentlich mit den Fällen die "Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen" vorschreiben, aber "Darf nicht mit einer Ziffer anfangen, darf nicht mit einer Ziffer enden, muss jeweils min. 2 Zeichen aus jeder Gruppe haben, Sonderzeichen sind .-+&$! erlaubt sonst keine"? Übliche Passwortmanager lachen über solche Anforderungen. Und: Passwörter mit Il1 oder 0O sind auch unbeliebt, je nach Font.
Beitrag #8025360 wurde von einem Moderator gelöscht.
Weils so gut zum Thema passt, die heute erschienene c't hat das als Titelthema: https://www.heise.de/select/ct/2026/7/2604211054253448549
Bauform B. schrieb: > Nur wie funktioniert die > Zuordnung Passwort zu Maschine/Anwendung? Ich muss inzwischen ca. 104 > davon unterscheiden... Bist du phantasielos oder was? Aufschreiben kann man die PWs ja auch - sofern man erinnert, wo man den Zettel oder das Heft hin getan hat. Grundsätzlich sollte man auch im Hinterkopf haben, dass die PWs nicht zu kurz sind. Je nach Szenario müsste man die auch regelmäßig erneuern.
Markus M. schrieb: > Damit sind endlich die Komplexen Passwörter auch wirklich sicher. Diesbezüglich wäre ein Testprogramm eventuell nützlicher.
Vielleicht OT, aber warum braucht man überhaupt sichere Passwörter? Wenn ich 1000 Versuche pro Sekunde habe, klar. Aber bei den Diensten, wo dabei nach 3ms die Meldung kommt „3 Fehlversuche, warten sie 1h“ oder „wenden sie sich an X“?
Bruno V. schrieb: > Vielleicht OT, aber warum braucht man überhaupt sichere Passwörter? > > Wenn ich 1000 Versuche pro Sekunde habe, klar. > > Aber bei den Diensten, wo dabei nach 3ms die Meldung kommt „3 > Fehlversuche, warten sie 1h“ oder „wenden sie sich an X“? du hast so viele Versuche wie du Quell-IPs hast von denen die Versuche kommen. Jetzt stell Dir vor Du hast (oder mietest) ein Botnetz von Millionen infizierter Kameras, Videoplayer etc. - mit einem Mal hast Du Millionen von Versuchen. Leider ist Cybercrime mittlerweile stark arbeitsteilig organisiert, so dass Du soetwas al fertige Dienstleistung kaufen kannst. Wenn also sich mit Deinem Passwort irgendwie Gewinn erzielen lässt, dann probiert das jemand.
Vielleicht auch OT, ich programmiere PasswortABFRAGEN so, dass noch Datum und Uhrzeit codiert eingegeben werden müssen... falls einem mal jemand über die Schulter schaut. mfG fE
Bauform B. schrieb: > Die Idee, das Passwort wirklich nirgends zu speichern, ist doch interessant. Der einzige hier, der mein Beitrag hier gelesen und verstanden hat ist wohl Bauform B. Alle andere schreiben ständig etwas über irgend einen Passwort-Manager und wie sicher (oder unsicher) man damit Passwörter speichern könne und ob es somit vertrauenswürdig ist. Also nochmal die Kurzfassung: Es ist nur ein "Passwort-Generator", ohne Funktion für speichern und erst recht kein Manager und ohne Internet.
Markus M. schrieb: > Bauform B. schrieb: >> Die Idee, das Passwort wirklich nirgends zu speichern, ist doch interessant. > > Der einzige hier, der mein Beitrag hier gelesen und verstanden hat ist > wohl Bauform B. Nö. Jörg R. schrieb: > (..) > Ich habe ein System bei dem ich Passwörter bilde die ich mir merken > kann, trotzdem für jede Anwendung unterschiedlich. Sicherheitshalber > gibt es eine Liste in Papierform, die nicht am Kühlschrank hängt. Noch analoger geht es nicht. Mir geht, bzw. ging, es allerdings vor allem darum keine .Exe von mir vollkommen unbekannten Menschen zu installieren. Abgesehen davon ist mein Hauptrechner ein Mac. Windows nutze ich nur für die Elektronik Soft/Hardware die unter Mac Os nicht funktioniert. Windows ist für mich also nur Mittel zum Zweck, wobei ich betonen möchte kein Windows-Gegner zu sein. Nichts gegen dein Engagement, aber halt ohne mich.
:
Bearbeitet durch User
Markus M. schrieb: > Es ist nur ein "Passwort-Generator", ohne Funktion für speichern und > erst recht kein Manager und ohne Internet. Offensichtlich stellst du dir ja vor, dass dein Generator anstelle eines Managers verwendet werden soll. Entsprechend wird er sich daran messen lassen müssen. Leider äußerst du dich auch nicht zu den Fragen, die zur Abschätzung der Sicherheit dienen könnten, wenn du den Code selbst schon nicht offenlegen möchtest, weil … naja, wird wohl seine Gründe haben.
Markus M. schrieb: > Es ist nur ein "Passwort-Generator", ohne Funktion für speichern und > erst recht kein Manager und ohne Internet. Das behauptest Du! Es hält aber ohne Sourcecode keiner Überprüfung stand! Genausogut könnte das generierte Passwort (samt Eingabedaten) direkt nach außen an einen Server übermittelt werden, der dann anhand der Eingabedaten den Dienst errät und schon ist aus einem vermeintlich sicheren Passwort, das nirgends gespeichert wird, ein quasi öffentliches geworden. Ich bleibe dabei: Realsatire. Wäre nur noch dadurch zu übertreffen, dass man dein Programm auf einem öffentlichen Server hostet und die User dazu ermutigt, sich dort online sichere Passwörter generieren zu lassen.
Klaus schrieb: > dass man dein Programm auf einem öffentlichen Server hostet und > die User dazu ermutigt, sich dort online sichere Passwörter > generieren zu lassen. Aber das wäre doch viel bequemer! Das kann man auch von unterwegs benutzen, mit dem Smartphone, und es ist betriebssystemunabhängig, und, sieh mal, da kann man eine schicke responsive Weboberfläche machen, und überhaupt, das ganze ist dann ja durch die Cloud abgesichert. Und obendrein kann man auch noch eine KI einbauen, irgendwas wird die da schon machen können. Das ist doch total supi! /s
Hier noch zwei Password-Generatoren:
1 | head -c100 /dev/urandom | uuencode -m - | head -n2 | tail -n1 |
2 | head -c100 /dev/urandom | uuencode - | head -n2 | tail -n1 |
(inklusive sourcecode)
Den zweiten hat wohl in leicht gekürzter Form Elon Musk verwendet, um den Namen für eines seiner Kinder zu finden.
Frank D. schrieb: > Mein Passwortmanager ist gelb und klebt am Monitor. Der ist aber anfällig gegen Keylogger, während ein exe über die Zwischenablage gehen könnte, oder? Wie sicher ist eigentlich Bluetooth, verglichen mit https? Ein Passwort-Generator / -Manager für unterwegs wäre doch viel interessanter. Auf dem heimischen PC ist es ja einfach.
Ich vermisse noch die CE Konformitätserklärung nach CRA. Da Passwortmanager als wichtig gelten, dementsprechend durch eine unabhängige Institution. ;-)
Bauform B. schrieb: > Der ist aber anfällig gegen Keylogger, während ein exe über die > Zwischenablage gehen könnte, oder? Als wenn gezielt Passwortstehlende Programme die Zwischenablage, Behindertenapps, Screenshots und Mausklicks ignorieren würden... Bauform B. schrieb: > Wie sicher ist eigentlich Bluetooth, verglichen mit https? Sehr. Primär weil viele Geräte kein Bluetooth haben. Das ist ja das Yubikeyproblem: Man darf oft kein USB anstecken, Bluetooth gibt's keins. Daher Passkeys über Mobilfunk, da muss BT nur da aber nicht gekoppelt sein.
Kein Source Code, also nicht vetrauenswürdig. Wird wohl Gründe haben. Bits und Bytes bitte umweltfreundlich entsorgen.
Die EXE muss natürlich auch nicht extra installiert werden. Es ist eine portable Version. Kann man somit problemlos auf einem USB Stick dabei haben oder sich neu vom Internet laden.
:
Bearbeitet durch User
Du verstehst es nicht. Was es um so schlimmer macht.
Frank D. schrieb: > Mein Passwortmanager ist gelb und klebt am Monitor. Ganz schlecht. Normalerweise ist der auf der Unterseite der Tastatur. Es soll ja Leute geben, die sind sogar zu faul die Tastatur umzudrehen. 🤫 🫢 🤐?
Dieter D. schrieb: > Ganz schlecht. Normalerweise ist der auf der Unterseite der Tastatur. Doch, das ist gut. Unter der Tastatur würde ihn ja jeder Agent finden.
Wegstaben V. schrieb: > wird zu: ... Danke. 🤗 Jetzt musst Du nur noch schreiben, wo Du das benutzt. 🤑 für die 🥳🥳🥳 sind sicher. Hatte es leider am Freitag übersehen danach zu fragen und nächsten Freitag ist es vielleich schon zu spät. 😞
Klaus schrieb: > die heute erschienene c't hat das als Titelthema: Nutzt nichts, weil hinter der Paywall. Nach dem sich die lange Nummer im Link leider bald ändern könnte, hier der Literaturhinweis: c't 7/2026 S. 20, Schlüssel-Flucht, Titel: Passwörter nach Europa holen, Untertitel Einen Passwortmanager sollte jeder nutzen. Die bekanntesten sind jedoch aus Gründen nicht unbedingt die beste Wahl. Von Kathrin Stoll
Norbert schrieb: > Hier noch zwei Password-Generatoren: Der PwdGen aus dem OP ist aber deterministisch! Markus M. schrieb: > Wenn man das sichere Passwort braucht, öffnet man PwdGen, gibt die Worte > ein und erhält jedes mal wieder das sichere Passwort.
Klaus schrieb: > Du verstehst es nicht. Du verstehst es nicht, warum das so viele nicht verstehen. Dazu müßte man zur Geschichte des Kryptofons in Deutschland in den 90er Jahren zurückgehen.
Alexander schrieb: > Was ist eigentlich aus what3words geworden? Dazu 2 Fragen: 1. Was hat das mit dem Thread-Thema zu tun? 2. Ist dein Google kaputt?
Hans W. schrieb: > Doch, das ist gut. Unter der Tastatur würde ihn ja jeder Agent finden. Die Unterseite des Tisches ist ungünstig, weil sich dabei schon Agenten den Hals ausgerengt haben sollen. Vor allem wird das teuer, wenn der/die Schuldige wegen des Personenschadens durch die personengefährdende Anbringung des Zettels verklagt werden.
Frank D. schrieb: > Mein Passwortmanager ist gelb und klebt am Monitor. Ist immer noch 1234? Oder wurde es geändert in 12 34?
Beitrag #8026092 wurde von einem Moderator gelöscht.
Klaus schrieb: > Dazu 2 Fragen: 1. Könnte die Idee ein ähnlicher Flop sein, da es an den "einfach zu merkenden" Wörtern scheitert? 2. Welche Funktion hat eine rhetorische Frage?
:
Bearbeitet durch User
Beitrag #8026135 wurde von einem Moderator gelöscht.
Alexander W. schrieb: > Kannst du bitte mal den Sourcecode posten? Also bitte, ist dir klar was du da verlangst? Wenn es eine triviale Idee gewesen wäre, die jeder halbwegs talentierte Entwickler an einem Wochenende von Grund auf neu programmieren könnte, wäre es OK. Aber die Entwicklung dieses Tools war viel zu aufwändig (>2600 Builds), um sie jetzt einfach so in fremde Hände zu geben. Außerdem würde die Sicherheit verloren gehen, wenn der Algorithmus bekannt würde. Nur geheime Geheimnisse sind sicher - das lernt doch jeder angehende Entwickler. (Wer darin Ironie erkennt hat mich richtig verstanden)
:
Bearbeitet durch User
Beitrag #8026139 wurde von einem Moderator gelöscht.
Beitrag #8026141 wurde von einem Moderator gelöscht.
Frank D. schrieb: > Mein Passwortmanager ist gelb und klebt am Monitor. Man muss nur noch ein Suffix im Gedächtnis behalten.
Hans W. schrieb: > (Wer darin Ironie erkennt hat mich richtig verstanden) Ja, wir sind sehr dumm, und diese Anmerkung ist absolut notwendig.
Georg M. schrieb: > Ja, wir sind sehr dumm, und diese Anmerkung ist absolut notwendig. Hier ist niemand dumm, aber eine kleine Anzahl von Personen stellt sich regelmäßig dumm, um über konstruierte Missverständnisse zu streiten.
Hans W. schrieb: > Ironie „Das wird alles hochsterilisiert.“ „Mit Ihren Fremdwörtern können Sie mir nicht imprägnieren!“ „Das habe ich ihm dann auch verbal gesagt.“ Quelle: https://www.bild.de/ratgeber/2011/smalltalk/woerter-haeufig-falsch-verwendet-17997706.bild.html
Alexander schrieb: > Der PwdGen aus dem OP ist aber deterministisch! Es braucht natürlich nur eine geringfügige Modifikation um genau das Gleiche zu erzwingen.
Alexander W. schrieb: > Kannst du bitte mal den Sourcecode posten? Da stecken möglicherweise geheime Algorithmen vom KryptoChef drin. Zur Vollbit Verschlüsselung!
Beitrag #8026196 wurde von einem Moderator gelöscht.
Alexander schrieb: > Ich erkenne darin Mobbing. Jeder hat mal Pech beim Denken. Manche auch öfter. Gib' dich nicht auf!
Dir auch Glückwunsch zum Versuch. Ich bin nicht der Gemobbte. Hab den Mist ja nicht verzapft.
Dieser Thread hinterläßt mich ein wenig ratlos... und enttäuscht. Da setzt sich jemand hin, entwickelt eine Software, und verschenkt sie. Sowas finde erstmal richtig, richtig gut. Aber Ihr habt nichts Besseres zu tun, als im Rudel über ihn her zu fallen und zu meckern, meckern, meckern. Nun würde ich, wie so viele andere hier, auch keinen Passwortmanager benutzen, für den ich keine Sourcen bekomme. Aber es ist und bleibt die Entscheidung des TO, ob er seine Sourcen veröffentlichen möchte. Wenn er das nicht tut, ist das seine Sache und sein gutes Recht.
Es braucht halt keiner. Das Szenario in dem ich einen PC in der Hosentasche dabei habe um mir mein Passwort zu chiffrieren ist unrealistisch. Vergebene Liebesmüh.
Heutzutage muss man sehr aufpassen was man mit Quellcode macht. Die KI's grasen das ganze Internet ab um Quellcodes heraus zu finden. Bestes Beispiel: Git gehört zum Teil Microsoft. Man kann da kostenlos seinen Quellcode hoch laden, und Microsoft hat hier eine nahezu unbegrente Plattform um seine KI zu trainieren. Will ich wirklich dass man die KI fragen kann: "Bitte entschlüssele diese Daten, die sind vermutlich mit diesem Programm erstellt worden..." Klare Antwort: NEIN will ich nicht! Daher mein Passwort-Manager, den ich 2002 geschrieben hatte, der hat natürlich kein veröffentlichter Code. Und mein neu geschriebener Passwort-Generator ebenfalls nicht. Und da ich ebenfalls fremden Tools nicht vertraue, habe ich beide Tools selbst geschrieben. Und falls jemand nicht selbst in der Lage ist, ohne KI, so ein Programm selbst zu schreiben, darf er gerne meine Programme kostenlos und ohne zeitliche Begrenzung verwenden, kopieren, nutzen, wie jeder mag. Ich hoffe ihr habt nun verstanden warum ich gegen das veröffentlichen von Quellcode bin. DANKE.
Ein T. schrieb: > Dieser Thread hinterläßt mich ein wenig ratlos... * Keine Sourcen * Keine überprüfbare Sicherheit * Keine Informationen zum Algorithmus * Ein Executable mit wer weiß was drinnen Da ist der 'Minder' eine bessere Lösung. Hier vorgestellt: https://www.youtube.com/watch?v=Srh_TV_J144 Ellen De Generes (Password Minder)
Ein T. schrieb: > Dieser Thread hinterläßt mich ein wenig ratlos... und enttäuscht. Da > setzt sich jemand hin, entwickelt eine Software, und verschenkt sie. > Sowas finde erstmal richtig, richtig gut. Aber Ihr habt nichts Besseres > zu tun, als im Rudel über ihn her zu fallen und zu meckern, meckern, > meckern. Das ist das typische "MC.net Gehabe", leider - kennst du ja. Und das ist purer Neid, Selbstverherrlichung und die unsägliche Arroganz der meisten User hier. Das das in der Breite der User nicht mehr gewollt ist und abgelehnt wird, sieht man hier leider in den letzten zwei Jahren an der Abwanderung der User und der mittlerweile sehr geringen Anzahl an neuen Posts. Von den vorgestellten und veröffentlichen Projekten durch User mal ganz zu schweigen... Ich würde meine freien Projekte definitiv auch nicht hier vorstellen und bereitstellen wollen. Norbert schrieb: > * Keine Sourcen > * Keine überprüfbare Sicherheit > * Keine Informationen zum Algorithmus > * Ein Executable mit wer weiß was drinnen Ja und?! Kannst du die Sourcen, die Sicherheit und den Algo einer der großen Passwortmanager Überprüfen? Markus hat hier schon einige, große Projekte vorgestellt - seit vielen Jahren. Warum sollte er nun deine Passwörter haben wollen - wenn durch das Programm nicht mal erkennbar ist WOFÜR das Passwort überhaupt sein soll. Völliger Aluhut Bullshit von euch!
:
Bearbeitet durch User
Also wenn ich so ne Paranoia vor einer .exe hätte würde ich die wohl in einer Sandbox untersuchen. Früher gab es Firewalls mit denen man gesehen hat welche Programme nach Hause telefonieren. Heute gibt es Onlinetools zum analysieren. Jemand der das ernsthaft glauben würde, hätte wohl längst einen Test gefahren und hier schon mit viel Getöse Alarm geschlagen.
Markus M. schrieb: > Will ich wirklich dass man die KI fragen kann: > "Bitte entschlüssele diese Daten, die sind vermutlich mit diesem > Programm erstellt worden..." > Klare Antwort: NEIN will ich nicht! Security by Obscurity? Schlechte Idee... Ich sehe abseits des Misstrauens eine völlig fremde Exe zu starten keinerlei Sinn in dem Programm, weil die Passwörter keine Beschränkungen haben, von einer ausreichenden "Passwortigkeit" rede ich da noch gar nicht. Viele Dienste beschränken den Zeichensatz oder die Länge, darauf geht das Programm überhaupt nicht ein. Die weitaus meisten generierten PW (ja, ich habs kurz getestet, offline, auf einer Schrott/Testmaschine) sind für keinen der Dienste geeignet bei denen ich auf die Schnelle nachgeschaut habe was die für Anforderungen stellen. Wie dumm die auch immer sein mögen, erstaunlicherweise schränken die meisten PW-Regeln die Sicherheit sogar massiv ein, aber bis sich das durchsetzt dauert's noch. Passwörter müssen primär lang sein, nicht kompliziert. Und lange PW lassen sich am besten als "Geschichte" merken. What3Words ist super geeignet, einfach zu merkende lange PW zu erzeugen: Das PW für ebay ist die Stelle, an der mein Sandkasten stand. Kann ich mir einfach merken, und CorrectHorseBatteryStaple ist ein tolles langes scheiße zu bruteforcendes Passwort. Hänge ich noch ein "amazon", "Ebay" oder "GMX" an ist es noch toller, noch länger, noch scheißer zu bruten und überall auf diesem Planeten zu erzeugen, ohne das es eine (zweifelhafte?) Exe unter Windows braucht. Wenn einer Ziffern oder Sonderzeichen will, geht eigentlich immer ein bissel Leetspeak und ein ! am Ende. Oder ein Punkt zwischen den Worten. Semikola, Accents, Sterne oder Backslash dagegen bringen so manche Passwortabfrage zum Kotzen, sind in diesem Generator aber eher die Regel denn eine Ausnahme. Protip: Das beste Passwort sind 8 Sterne. Wenn mich einer hackt fragt er sich warum er mein Passwort immer noch nicht sehen kann!
:
Bearbeitet durch User
Markus M. schrieb: > Will ich wirklich dass man die KI fragen kann: > "Bitte entschlüssele diese Daten, die sind vermutlich mit diesem > Programm erstellt worden..." > Klare Antwort: NEIN will ich nicht! Im Anhang findest du eine kurze Nachricht, verschlüsselt mit AES-256. Seit Jahrzehnten wohlbekannt und millionenfach in Sourcen enthalten, die als Trainingsdaten für die K„I“ benutzt wurden. Bitte frage deine K„I” – ich verpflichte mich hiermit öffentlich, die in der Nachricht enthaltene Ankündigung für dich (alternativ für den ersten User hier, dessen K„I“ es ihm entschlüsselt) umzusetzen. Ein T. schrieb: > Aber es ist und bleibt die > Entscheidung des TO, ob er seine Sourcen veröffentlichen möchte. Wenn er > das nicht tut, ist das seine Sache und sein gutes Recht. Und mein gutes Recht ist es, das dann zu hinterfragen. Zumal die Argumente gegen eine Offenlegung auch nur der Ableitung der Passwörter doch eher in Richtung der Befürchtungen gehen: Wenn der Autor selbst annimmt, dass mit Kenntnis des Codes die „Verschlüsselung“ gebrochen werden kann, dann gibt es da ein grundlegendes Problem. Wenn dem Autor das aber bewusst ist, dann sollte er vielleicht in Erwägung ziehen, von einer Veröffentlichung abzusehen. Von allen ernstzunehmenden Verschlüsselungs- und Hashverfahren sind die Algorithmen offen; keiner würde da etwas einsetzen, das nicht geprüft werden kann. Dabei ist’s auch völlig unerheblich, ob sich andere Programme des Autors großer Beliebtheit erfreuen – es ist nunmal nicht so, dass jemand, der ein gutes Datenbankfrontend hinbekommt, sich automatisch auch mit Kryptographie auskennt. Im Gegenteil, da besteht eine nicht unerhebliche Wahrscheinlichkeit, irgendwas zu übersehen oder mangels Backgrounds nicht erkennen zu können. Ich nehme bei meinen Beiträgen auch keine böse Absicht des TE an – im Gegenteil. Aber „gut gemeint“ ist halt nicht automatisch „gut gemacht“. Rene K. schrieb: > Kannst du die Sourcen, die Sicherheit und den Algo einer der > großen Passwortmanager Überprüfen? Die Frage ist doch nicht, ob Norbert oder ich oder andere hier das im Detail könnten, sondern ob es überhaupt möglich ist. Und wie weiter oben geschrieben, gucken bei der „großen Passwortmanagern“ sehr wohl Leute drauf, die sich damit auskennen. Eben deswegen wurden dort auch Probleme gefunden und behoben. Und ja – einige der häufigeren Fallstricke würde ich vermutlich erkennen können.
Rene K. schrieb: > Ja und?! Kannst du die Sourcen, die Sicherheit und den Algo einer der > großen Passwortmanager Überprüfen? Das ist ein denkbar schlechtes Argument. In diesem speziellen Fall muss man das gar nicht, denn gerade Open Source Password Manager stehen ständig unter genauester Beobachtung und werden von unzähligen Sicherheitsexperten unter die Lupe genommen. Und ja, es sind auch schon Lücken und problematische Stellen gefunden UND gefixt worden. Eben weil es Open Source ist. Edit: Da war der Jack schneller ;-)
:
Bearbeitet durch User
Markus M. schrieb: > Hier mal Beispiele wie man zwischen verschiedenen ... Interessante Idee wie das umgesetzt ist. Hier hat sich jemand mal Gedanken gemacht, wie man so etwas lösen könnte - finde ich gut. Lass Dich hier nicht runter ziehen, es gibt hier immer Leute die was zu meckern haben und denen man es nicht recht machen kann.
Jens K. schrieb: > Es ist aber schön zu sehen, das man komplett fremde Firmen, meistens im > Ausland, mehr Vertrauen schenkt als dem Bürger im eigenen Land bzw > Bundesland/Nachbarschaft. Es ist vermutlich einfacher, die Identität von Google/Microsoft/… nachzuprüfen, als die eines „Markus M.“ Aber jeder, wie er will… In meinem Passwortmanager haben sich im Lauf der Zeit eine deutlich dreistellige Anzahl von Einträgen angesammelt. Ob ich mir da jetzt mehrere hundert Passwörter oder mehrere hundert lustige Sätze nicht merken kann, macht keinen Unterschied. Nutzt man aber wie oben im Beispiel immer den selben Satz, mit nur einem anderen Wort, wirds mit der Sicherheit der generierten Passwörter dann eng. Oliver
Klaus schrieb: > Das behauptest Du! Es hält aber ohne Sourcecode keiner Überprüfung > stand! > > Genausogut könnte das generierte Passwort (samt Eingabedaten) direkt > nach außen an einen Server übermittelt werden, der dann anhand der > Eingabedaten den Dienst errät und schon ist aus einem vermeintlich > sicheren Passwort, das nirgends gespeichert wird, ein quasi öffentliches > geworden. Du solltest Dir unbedingt einen Aluhut der neusten Generation kaufen. Ansonsten gibt es durchaus Möglichkeiten zu prüfen ob das Progrämmle nach Hause telefoniert. Den Quellcode braucht man für diese Überprüfung ganz sicher nicht. Und wer nach dieser Überprüfung noch immer bei Benutzung des Programmes die Buchsen voll hat, trennt halt einfach während der Nutzung die Netzwerkverbindung. Wer soviel Schiß hat darf eigentlich gar kein Windows nutzen, sollte sich von Onlinebanking, Onlinehandel und vielen weiteren Sachen möglichst fern halten. Wer so viel Angst hat, darf noch nicht mal mehr Auto fahren, weil die modernen Kisten heutzutage alle nach Hause telefonieren.
Hans schrieb: > Den Quellcode braucht man für diese Überprüfung > ganz sicher nicht. Doch. Und zwar mit Hilfe automatisierter Tools und auch manuell. Besonders bei Passwortmanagern. > darf eigentlich gar kein Windows nutzen Herzlich willkommen am Ende des Denkprozesses.
Rene K. schrieb: > wenn durch > das Programm nicht mal erkennbar ist WOFÜR das Passwort überhaupt sein > soll Das wandert dann z.B. automatisiert hier rein: https://github.com/danielmiessler/SecLists Gerne auch zeitverzögert in einem geforkten Prozess damit deine tolle Firewall das nicht mitbekommt.
Hans schrieb: > Ansonsten gibt es durchaus Möglichkeiten zu prüfen ob das Progrämmle > nach Hause telefoniert. Den Quellcode braucht man für diese Überprüfung > ganz sicher nicht. Auch wenn's die ersten drei Monate nach Installation erst einmal inaktiv ist? Auch wenn's virtuelle Maschinen und Sandkästen erkennen kann? Auch wenn's die Daten dann später in DNS Anfragen unterbringt?
Hans schrieb: > Ansonsten gibt es durchaus Möglichkeiten zu prüfen ob das Progrämmle > nach Hause telefoniert.Den Quellcode braucht man für diese Überprüfung > ganz sicher nicht. Meine Bedenken gingen eher in die Richtung, dass sich die Passwörter auf die ursprünglichen Eingangsdaten zurückrechnen lassen könnten, oder die Unterschiede bei geringfügig unterschiedlichen Eingabedaten (im Beispiel ja das letzte, oder die letzten beiden Felder) nachvollziehbare Unterschiede in den Ausgangsdaten erzeugen könnten. Da würde der Code sehr wohl schnell Klarheit bringen können. Aktives Ausleiten von Daten, als Microslop-Euphemismus auch „Telemetrie“, würde böse Absicht unterstellen, und das mache zumindest ich hier nicht. Hans schrieb: > Wer soviel Schiß hat darf eigentlich gar kein Windows nutzen Sehr schön erkannt :)
Norbert schrieb: > Auch wenn's die ersten drei Monate nach Installation erst einmal inaktiv > ist? > Auch wenn's virtuelle Maschinen und Sandkästen erkennen kann? > Auch wenn's die Daten dann später in DNS Anfragen unterbringt? Auch Du brauchst einen neuen Aluhut. Mit derlei vielen Bedenken, Wenn und Abers würde ich mich nie und nimmer an einen Rechner setzen egal ob da Win, Linux, MacOS oder irgendein anderes Betriebssystem drauf läuft. Mein Auto würde ich auch stehen lassen müssen, das telefoniert stängig nach Hause und mit Google.
Hans schrieb: > Mein Auto würde ich auch stehen lassen müssen, das telefoniert stängig > nach Hause und mit Google. Da du dein Auto nun mehrfach angeführt hast: Welche wichtigen Passwörter speicherst du denn so in deinem Auto? Es geht in diesem Thread nicht um irgendeine Lagerverwaltung, oder so. Es geht um Passwörter, und wenn die, auf welche Weise auch immer, ausgeleitet oder leicht erraten werden können, dann ist das nicht gut. Um das zu vermeiden, nutzt man hier Software, die man überprüfen [lassen] kann, und das ist hier der Punkt, der allerdings von deiner dämlichen Polemik nicht mal gestreift wird, Hans.
:
Bearbeitet durch User
Jack V. schrieb: > Hans schrieb: >> Wer soviel Schiß hat darf eigentlich gar kein Windows nutzen > > Sehr schön erkannt :) Man könnte da ruhigen Gewissens auch alle anderen OS hinzufügen. Selbst Kisten mit Linux sind nicht davor gefeit. Man denke z.B. an die ganzen Router deren FW meist auf Linux basiert.
Hans schrieb: > Selbst > Kisten mit Linux sind nicht davor gefeit. Doch, Linux ist völlig davor gefeit, nicht einsehbar zu sein. Du argumentierst gerade ziemlich am Kern der Sache vorbei, wie in meinem letzten Beitrag schon angedeutet.
Hans schrieb: > Man könnte da ruhigen Gewissens auch alle anderen OS hinzufügen. Selbst > Kisten mit Linux sind nicht davor gefeit. Man denke z.B. an die ganzen > Router deren FW meist auf Linux basiert. Ich (hans) habe Open Source verstanden: [ ] nein
Jack V. schrieb: > Da du dein Auto nun mehrfach angeführt hast: Welche wichtigen Passwörter > speicherst du denn so in deinem Auto? Nur das Nötigste, es sind genau 2, damit überhaupt alle Funktionen auf der Kiste nutzbar sind. Nein es ging ums nach Hause telefonieren. Da kann prinzipiell alles übertragen werden sogar Passwörter.
Hans schrieb: > Nein es ging ums nach Hause telefonieren. Da kann prinzipiell alles > übertragen werden sogar Passwörter. Tatsächlich ging es darum, den Code oder zumindest den Algorithmus des eingangs vorgestellten Programms zu sehen, um ggf. gemeinsam mögliche Probleme erkennen und beheben zu können, oder halt auch sagen zu können: Einwandfrei, dem kann man trauen; damit kann man völlig sicher seine Passwörter on demand generieren lassen! Wenn es denn so ist. Was man nachschauen müsste. Wozu man reinschauen können müsste. Wird’s langsam klarer? Abgesehen davon: Und du speicherst deine Bankpasswörter, die für Mailaccounts und die deiner Kommunikationsanbieter, also die, mit denen jemand im Handumdrehen deine digitale Identität übernehmen könnte, tatsächlich in deinem Auto? Das würde deine wirre Argumentation zwar nicht direkt nachvollziehbar machen, aber zumindest doch beim Einordnen helfen …
12 Zeichen (A–Z; a–z; 0–9): 102.000 Jahre https://de.wikipedia.org/wiki/Passwort#Ausprobieren_von_Passwörtern
Jack V. schrieb: > Doch, Linux ist völlig davor gefeit, nicht einsehbar zu sein. Du > argumentierst gerade ziemlich am Kern der Sache vorbei, wie in meinem > letzten Beitrag schon angedeutet. Deine Argumentation war nicht anders zu erwarten. Schon blöd wenn es Leute gibt die Dein geliebtes Linux madig machen. Dein PC den Du selbst administrierst mag davor gefeit sein, sofern Dir kein Fehler unterläuft. Bei z.B. einem Router, einem Mobiltelefon oder auch anderen Gerät mit ebedded Linux gibt der Hersteller des Gerätes in aller Regel die Software vor und der Hersteller bestimmt in erster Linie was das Gerät macht.
Hans schrieb: > Schon blöd wenn es > Leute gibt die Dein geliebtes Linux madig machen. Altbekanntes Schema. Stuss behaupten, und wenn dann jemand darauf hinweist, persönlich irgendwelche Sachen unterstellen und provozieren. Möchtest du denn noch auf die Sachebene hochkommen, oder weiter in deinem Schlammkasten sitzenbleiben? Wenn Ersteres: Es ging nicht darum, dass es per se sicher wäre, sondern dass man reingucken kann. Das wurde von mir mehrfach ausdrücklich dargelegt, und dass du dennoch weiterhin die erstgenannte Behauptung unterstellst, wirft Fragen auf, die du klären solltest. Wenn Letzteres: Viel Spaß noch.
:
Bearbeitet durch User
Speedy G. schrieb: > Ich (hans) habe Open Source verstanden: > > [ ] nein Achja, Du guckst in den Code und siehst sofort: "Ah das ist böse". Allein das Offenlegen des Codes, heißt nicht das damit sicherer ist. Derjenige der sich den Code anschaut muß ihn auch verstehen können. Ansonsten bin ich jetzt raus, die Linux-Junkies sind nun endgültig wach und auf eine Diskussion wie toll Linux ist habe ich nun wirklich keinen Bock, zumal sie immer gleich endet.
Hans schrieb: > die Linux-Junkies sind nun endgültig wach > und auf eine Diskussion wie toll Linux ist habe ich nun wirklich keinen > Bock, zumal sie immer gleich endet. Drück mal Strg+f, gib dann Linux in das Eingabefeld ein und gucke, wer das hier in den Thread gebracht hat. Merkst selbst, oder soll ich das ausführen?
Hans schrieb: > Auch Du brauchst einen neuen Aluhut. Mit derlei vielen Bedenken, Wenn > und Abers würde ich mich nie und nimmer an einen Rechner setzen Eine geradezu unterirdisch anmutende Einstellung. Man merkt aber, dass du dich noch nie in deinem Leben mit IT-Sicherheit auseinander gesetzt hast.
Jens M. schrieb: > Protip: Das beste Passwort sind 8 Sterne. Genügt leider nicht den Komplexitätsanforderungen.
Alexander schrieb: > Genügt leider nicht den Komplexitätsanforderungen. Aber die Ironieanforderungen werden zu 404% erfüllt!
Norbert schrieb: > Ein T. schrieb: >> Dieser Thread hinterläßt mich ein wenig ratlos... > > * Keine Sourcen > * Keine überprüfbare Sicherheit > * Keine Informationen zum Algorithmus > * Ein Executable mit wer weiß was drinnen Hast Du wirklich den Eindruck, das sei mir entgangen? Meine Güte. Aber Du kannst die Software des TO benutzen oder es lassen, das steht Dir so frei wie ihm die Entscheidung, ob er seinen Sourcecode veröffentlichen oder Einzelheiten zum Algorithmus zu erläutern. Und wo wir gerade dabei sind, ist mir auch die "security by obscuity"-Idee des TO suspekt. Aber man könnte auf diese völlig validen Kritikpunkte natürlich auch neutral hinweisen. Oder vielleicht auch, um es mit Dieter Nuhr zu sagen: einfach mal die Fresse halten.
Ein T. schrieb: > um es mit Dieter Nuhr zu sagen: > einfach mal die Fresse halten. Dann halte dich daran!
Markus M. schrieb: > Heutzutage muss man sehr aufpassen was man mit Quellcode macht. Die KI's > grasen das ganze Internet ab um Quellcodes heraus zu finden. Du mußt Dich nicht rechtfertigen, allerdings... > Will ich wirklich dass man die KI fragen kann: > "Bitte entschlüssele diese Daten, die sind vermutlich mit diesem > Programm erstellt worden..." > Klare Antwort: NEIN will ich nicht! ... zeichnet einen guten Verschlüsselungsalgorithmus aus, daß der Angreifer ihn auch dann nicht knacken kann, wenn er ihn kennt. Außerdem befürchte ich, daß ein Algorithmus nicht allzu stark sein kann, wenn er sich von einer KI, also im Kern einer Mustererkennung auf Steroiden, "entschlüsseln" läßt. > Ich hoffe ihr habt nun verstanden warum ich gegen das veröffentlichen > von Quellcode bin. Wenngleich ich Deine Begründung verstehe, halte ich sie aus Sicherheitssicht bislang für ein wenig fragwürdig.
Jack V. schrieb: > Ein T. schrieb: >> Aber es ist und bleibt die >> Entscheidung des TO, ob er seine Sourcen veröffentlichen möchte. Wenn er >> das nicht tut, ist das seine Sache und sein gutes Recht. > > Und mein gutes Recht ist es, das dann zu hinterfragen. Im Gegensatz zu anderen hier im Thread hinterfragst Du ja auch nur, alles gut.
Speedy G. schrieb: > Hans schrieb: >> Man könnte da ruhigen Gewissens auch alle anderen OS hinzufügen. Selbst >> Kisten mit Linux sind nicht davor gefeit. Man denke z.B. an die ganzen >> Router deren FW meist auf Linux basiert. > > Ich (hans) habe Open Source verstanden: > > [ ] nein Ich spende ein ✓.
Hans schrieb: > Ansonsten bin ich jetzt raus, die Linux-Junkies sind nun endgültig wach > und auf eine Diskussion wie toll Linux ist habe ich nun wirklich keinen > Bock, zumal sie immer gleich endet. Das stimmt, sie endet immer gleich: Du verlierst. Aber welchen argumentativen Tiefgang will man auch von jemandem erwarten, der seinem Gegenüber direkt eine Drogensucht und dem Diskussionsgegenstand unterstellt, eine Droge zu sein.
Ich sehe das so, ein Passwort das so lang und sicher ist das selbst mit modernster Hardware bruteforce keinen Sinn ergibt, kann von mir aus als Hash so lange im Netz kursieren wie es will, scheiß auf den leak! (mein persönlicher Standard sind 20-30 Zeichen für wichtiges, also Zeug wo auch ne funktionale und regelmäßig genutzte E-Mail-Adresse hinter ist usw.. für alles andere genügen mir 8-18 Stellen, mehr oder minder "Random" bullshit.) Dazu noch, wo dies eben möglich und sinnvoll ist, 2FA, ja klingt blöd, ist häufig auch umständlich, aber für einen Account wo zb. Geld drin steckt, nehm ich es hin.(Steam zb. Die Spielesammlung war nicht gerade billig!) Erst wenn es an dieser Ansicht was zu rütteln gibt, wird es Zeit mehrere Passwörter für unterschiedliche Accounts zu nutzen, geschweige denn einen Passwort-Manager. Hans schrieb: > Ansonsten bin ich jetzt raus, die Linux-Junkies sind nun endgültig wach > und auf eine Diskussion wie toll Linux ist habe ich nun wirklich keinen > Bock, zumal sie immer gleich endet. Was haben sichere Passwörter mit Linux zu tun? NIX! Die braucht man überall. Der einzige Weg einen Passwort-Manager zu verbessern ist wenn er so lange geknackt wird, bis es keiner mehr schafft. Selbst dann, heißt das nicht automatisch das es nie jemand schafft, sondern nur das es bis zu diesem Zeitpunkt sehr schwer geworden ist, das zu schaffen. Ich verstehe den Einwand das keiner Code klauen soll, jeder ist stolz auf das was er macht, das soll keiner für sich beanspruchen können ohne wenigstens "Credits" zu geben. Andererseits, das Leute dann Zweifeln, gerade wegen dem wissen daß es nur Verbesserung gibt, wenn sowas mal ordentlich in die Mangel genommen und ausgebessert wurde, ist doch auch verständlich, oder? Ich trau mich vor lauter Fremdscham kaum noch das potfile bei hashcat zu öffnen, da sind Passwörter zwischen, die könnten tatsächlich auch von einem Kraken stammen, der anstelle Fußballspielen eben Passwörter vorraussagt. Zu meiner Schulzeit fing der Unterricht in ITG (Informationstechnische Grundlagen) bereits mit Grundregeln zur Passwort-Sicherheit an, leider hat sich das wissen nicht unbedingt gut weiter verbreitet.
Kilo S. schrieb: > Zu meiner Schulzeit fing der Unterricht in ITG > (Informationstechnische Grundlagen) bereits mit Grundregeln zur > Passwort-Sicherheit an, leider hat sich das wissen nicht unbedingt gut > weiter verbreitet. Egal, wie lange oder kurz deine Schulzeit auch zurückliegt, IT-Wissen hat eine sehr kurze Halbwertszeit… Oliver
Oliver S. schrieb: > Egal, wie lange oder kurz deine Schulzeit auch zurückliegt, IT-Wissen > hat eine sehr kurze Halbwertszeit… Nicht nur das, der Lehrer war auch scheiße, dem hab ich hinterher erklärt das Festplatten nicht wie eine CD funktionieren, der wollte uns im Unterricht weiß machen da sei ein laser drinnen. War ihm sichtlich unangenehm als ich die Stunde darauf die zerlegte Platte auf den Tisch legte. ;-) Aber die Regeln zur Passwort Sicherheit waren schon korrekt.
Kilo S. schrieb: > der wollte uns > im Unterricht weiß machen da sei ein laser drinnen Fun Fact: In heutigen Festplatten ist durchaus ein Laser drin, wenn sie das "HAMR"-Aufzeichnungsverfahren (heat assisted magnetic recording) verwenden. Der sitzt neben jedem Schreib-/Lesekopf und erhitzt die Plattenoberfläche beim Schreiben. https://de.wikipedia.org/wiki/Heat-assisted_magnetic_recording
Kilo S. schrieb: > Aber die Regeln zur Passwort Sicherheit waren schon korrekt. Naja … lange Zeit wurde ja der regelmäßige Wechsel von Passwörtern propagiert, während mittlerweile ausdrücklich davon abgeraten wird. Auch halten früher als sicher geltenden Längen heute nicht mehr in jedem Fall einem gezielten Angriff stand. OT: „Passwortsicherheit“, oder aber konsequentes Trümmerdeutsch: „Pass Wort Sicherheit“
Angehängte Dateien:
Schaut euch doch einfach mal die Datei auf Virustotal an! Dann dürft ihr motzen! https://www.virustotal.com/gui/file/68c61dbc3af596fb23309961eb9f29011fb35012f93a4e7485822c17459aa702?nocache=1
:
Bearbeitet durch User
Moin, Oliver S. schrieb: > Egal, wie lange oder kurz deine Schulzeit auch zurückliegt, IT-Wissen > hat eine sehr kurze Halbwertszeit… Na, dann hatte ja mein Mathelehrer damals alles richtig gemacht, als er aus 2 Möglichkeiten, die ihm der Leerplan anbot, die "Richtige" nahm: "Darstellende Geometrie" kann man ja auch viel besser brauchen als dieses neumodische "Informatik"... Gruss WK
Jens K. schrieb: > Schaut euch doch einfach mal die Datei auf Virustotal an! Dann dürft ihr > motzen! Seit wann werden von den bei Virustotal genutzten Scannern Implementationsdetails betrachtet und bewertet? Dort wird im Wesentlichen mit bekannter Schadsoftware verglichen – und dass der TE sowas eingebaut hätte, wurde hier nun wirklich von keinem unterstellt. Was wolltest du mit deinem Beitrag also ausgesagt haben? Edit, Nachtrag: Oder hängst du dich an dem false positive auf? Ist halt Microslop, kann man eh nicht ernstnehmen.
:
Bearbeitet durch User
Jack V. schrieb: > Edit, Nachtrag: Oder hängst du dich an dem false positive auf? Ist halt > Microslop, kann man eh nicht ernstnehmen. Oh man! Es sind die Grüne die zählen und nicht die Roten! War aber klar das wieder jemand um die Ecke kommt und es komplett falsch verstehen möchte (oder sogar nur falsch versteht?). Naja, beides ist für denjenigen besorgniserregend :-D
Harald K. schrieb: > Fun Fact: > In heutigen Festplatten ist durchaus ein Laser drin, Aber nicht bei alten IDE Platten von vor über 20 Jahren. ;-) Jack V. schrieb: > Naja … lange Zeit wurde ja der regelmäßige Wechsel von Passwörtern > propagiert, während mittlerweile ausdrücklich davon abgeraten wird. Ich finde ein mal jährlich wechseln gar nicht so schlimm, allerdings nur unter der Vorraussetzung das es einen Grund gibt. Angenommen es gab einen Leak der Datenbank, der alte Hash ist noch nicht geknackt. Tausche ich das Passwort dort, kann's mir noch mehr egal sein ob der alte Hash geknackt wird, ist ja dann nutzlos geworden.
Ich hab keine Ahnung was ihr alle habt, ich finde die Idee gut. Selbst wenn das generierte Passwort an einen Server übertragen wird, braucht man zusätzlich noch den Login-Namen und die Server-Adresse wo das ganze genutzt wird. Also sehr unwahrscheinlich. Und wer heute noch keine 2-Faktor Authentifizierung nutzt, ist entweder dämlich oder hatte das Glück noch nie gehackt worden zu sein und weiß es nicht besser.
:
Bearbeitet durch User
M. D. schrieb: > oder hatte das Glück noch nie gehackt worden zu sein und weiß es nicht > besser. Von mir gibt es garantiert geleakte Passwörter, ich weiß es denn ich wurde darauf aufmerksam gemacht das mein Account betroffen war, vom Anbieter selbst. Loginversuche gab es aber keine! Bei meiner Frau hingegen, da wurde der letzte fehlgeschlagene Versuch, vor ca. einem Jahr, aus Saudi Arabien gemeldet. Keiner von uns weiß wie die Mail-Adresse in falsche Hände gelangt ist. Muss wohl ein Alter Leak gewesen sein, irgendeiner der auf gut Glück mit den Daten versuche angestellt hat.
Jens K. schrieb: > Oh man! Es sind die Grüne die zählen und nicht die Roten! Oh man – du hast den letzten Absatz des Beitrags gelesen, und in der Zeit den umittelbar davorstehenden Absatz, der sich auf die Mehrzahl der grünen Symbole bezog, schon wieder völlig vergessen? Oder gab’s da ein kognitives Problem, dessen Inhalt zu erfassen? War vielleicht das „Oder“ zu klein oder in der falschen Farbe geschrieben? Vielleicht doch mal weniger von diesem Brainrot-Content konsumieren, damit die Aufmerksamkeitsspanne wieder größer als eine Satzlänge werden kann, sodass sinnerfassendes Lesen wieder möglich wird?
:
Bearbeitet durch User
Alle meine Familienmitglieder in Anfangsbuchstaben des Namens plus Geburtsdatum, zur Trennung ein Sonderzeichen sollte genügen. Da werkelt ein schneller Rechner Jahre.
Herbert Z. schrieb: > Da werkelt ein schneller Rechner Jahre. 8 Zeichen Random, ohne Sonderzeichen, nur Groß/Kleinbuchstaben und zahlen können, je nach Geschwindigkeit mit der sich der Hash rekonstruieren und vergleichen lässt, bereits der "Endgegner" sein. md5 schafft meine CPU bereits mehrere Millionen Passwörter pro Sekunde, komplexeren wie zb. WPA2 sind es bereits nur noch 14-15.000/s. Meine Grafikkarten (ja, mehrere) schaffen bereits 250.000 WPA2 hashes pro Sekunde, md5 sind es da bereits bei nur einer Karte 8459MH/s, die Low Profile GT1030 mit 2GB dürfte da zusätzlich um 1000MH/s bringen. Und das ist beim cracking wirklich "Low end", Kiste mit GTX970/GT1030, oller i5 und 32GB RAM. Wahrlich nix besonderes.
Wer will kann ja mal testen wie lange eine mask attack dauern kann. Powershell kommt von der KI, keine funktionsgarantie. hashcat -m 0 hashes.txt -a 3 ?a?a?a?a?a?a?a?a
1 | Session..........: hashcat |
2 | Status...........: Running |
3 | Hash.Mode........: 0 (MD5) |
4 | Hash.Target......: hashes.txt |
5 | Time.Started.....: Tue Mar 24 15:36:49 2026 (10 secs) |
6 | Time.Estimated...: Mon Dec 7 22:51:50 2026 (258 days, 7 hours) |
7 | Kernel.Feature...: Pure Kernel |
8 | Guess.Mask.......: ?a?a?a?a?a?a?a?a [8] |
9 | Guess.Queue......: 1/1 (100.00%) |
10 | Speed.#1.........: 297.3 MH/s (5.41ms) @ Accel:512 Loops:256 Thr:1 Vec:8 |
11 | Recovered........: 0/9320 (0.00%) Digests (total), 0/9320 (0.00%) Digests (new) |
12 | Remaining........: 9320 (100.00%) Digests |
13 | Recovered/Time...: CUR:N/A,N/A,N/A AVG:N/A,N/A,N/A (Min,Hour,Day) |
14 | Progress.........: 3136290816/6634204312890625 (0.00%) |
15 | Rejected.........: 0/3136290816 (0.00%) |
16 | Restore.Point....: 0/7737809375 (0.00%) |
17 | Restore.Sub.#1...: Salt:0 Amplifier:510464-510720 Iteration:0-256 |
18 | Candidate.Engine.: Device Generator |
19 | Candidates.#1....: y=?erane -> Wj@(123 |
20 | Hardware.Mon.#1..: Temp: 68c Util: 97% |
21 | |
22 | |
23 | EDIT: |
24 | First hit nach 10 sekunden! |
25 | |
26 | [s]tatus [p]ause [b]ypass [c]heckpoint [f]inish [q]uit => s |
27 | |
28 | Session..........: hashcat |
29 | Status...........: Running |
30 | Hash.Mode........: 0 (MD5) |
31 | Hash.Target......: hashes.txt |
32 | Time.Started.....: Tue Mar 24 15:36:49 2026 (10 secs) |
33 | Time.Estimated...: Mon Dec 7 22:51:50 2026 (258 days, 7 hours) |
34 | Kernel.Feature...: Pure Kernel |
35 | Guess.Mask.......: ?a?a?a?a?a?a?a?a [8] |
36 | Guess.Queue......: 1/1 (100.00%) |
37 | Speed.#1.........: 297.3 MH/s (5.41ms) @ Accel:512 Loops:256 Thr:1 Vec:8 |
38 | Recovered........: 0/9320 (0.00%) Digests (total), 0/9320 (0.00%) Digests (new) |
39 | Remaining........: 9320 (100.00%) Digests |
40 | Recovered/Time...: CUR:N/A,N/A,N/A AVG:N/A,N/A,N/A (Min,Hour,Day) |
41 | Progress.........: 3136290816/6634204312890625 (0.00%) |
42 | Rejected.........: 0/3136290816 (0.00%) |
43 | Restore.Point....: 0/7737809375 (0.00%) |
44 | Restore.Sub.#1...: Salt:0 Amplifier:510464-510720 Iteration:0-256 |
45 | Candidate.Engine.: Device Generator |
46 | Candidates.#1....: y=?erane -> Wj@(123 |
47 | Hardware.Mon.#1..: Temp: 68c Util: 97% |
48 | |
49 | c18d8ff7474b2aaa95c9e1f1f53e7b1d:PeUMty12 |
Das ist gerade auch nur der Laptop mit einem Ryzen5, 13 minuten insgesamt bisher die ersten 6 gefunden.
:
Bearbeitet durch User
Herbert Z. schrieb: > Da werkelt > ein schneller Rechner Jahre. … zwei Dutzend schnelle Rechner dann Monate und ein Rechner mit 1024 schnellen Rechenkernen dann […] Die Frage dabei ist ja auch, wie das Passwort denn geschützt wurde. Wenn Firmen aufgemacht wurden (das ist, wenn man eine Mail mit „Die Sicherheit Ihrer Daten ist uns sehr wichtig. Deswegen informieren wir Sie hiermit, dass uns die trotzdem klauen lassen haben [weil adäquater Schutz uns halt zu teuer war] …“ bekommt), und es stellt sich raus, dass es die Passwörter mit MD5 gehashed wurden, dann bringen viele Buchstaben halt deutlich weniger Verzögerung, als wenn von den Passwörtern mit etwa Argon2 ein Schlüssel abgeleitet werden muss. Allerdings ist das hier im Thread auch nicht ganz so passend, denn sechzehn Stellen incl. Sonderzeichen werden heutztuge tatsächlich als „okay“ angesehen, und was anderes kann das Programm wohl nicht ausgeben. An der Stelle sehe ich kein Problem (bis auf dass einige Anbieter solche Passwörter nicht zulassen – warum auch immer).
:
Bearbeitet durch User
Jack V. schrieb: > … zwei Dutzend schnelle Rechner dann Monate und ein Rechner mit 1024 > schnellen Rechenkernen dann […] Die Frage ist doch eher: Wer interessiert sich für den Bürorechner eines nicht mehr berufstätigen Mannes/Frau der weder eine wichtige Firma betreibt noch elektronisch Geld angelegt hat? Die viele Knackarbeit ins "blaue" macht niemand.
Herbert Z. schrieb: > Die Frage ist doch eher: Wer interessiert sich für den Bürorechner eines > nicht mehr berufstätigen Mannes/Frau der weder eine wichtige Firma > betreibt noch elektronisch Geld angelegt hat? Die Antwort ist: Das interessiert keinen, weil die in der Unterhaltung kolportierte Vorstellung, da würde jemand irgendwo sitzen und gezielt Opfer aussuchen, um die dann anzuhacken (so schon in irgend’ner Unterhaltungssendung gehört), leider falsch ist. Das sind Bots und sonstige Malware, und die differenzieren nicht. Nichtsdestotrotz kann der Schaden für dich hoch werden, wenn deine Geräte oder Accounts dann (ebenso automatisiert) missbraucht werden und irgendwo Schaden anrichten.
:
Bearbeitet durch User
Jack V. schrieb: > Das sind Bots und sonstige Malware, und die differenzieren nicht. > Nichtsdestotrotz kann der Schaden für dich hoch werden, wenn deine > Geräte oder Accounts dann (ebenso automatisiert) missbraucht werden und > irgendwo Schaden anrichten. Deswegen passe ich auch gut auf wo ich mich bewege im WEB und welche Mail ich öffne. Ich hoffe natürlich, dass Firewall und AV mich dabei unterstützen. Ansonsten bin ich echt zäh zum überrumpeln.
Herbert Z. schrieb: > Deswegen passe ich auch gut auf […] > […] Ansonsten bin ich echt zäh zum überrumpeln. Du glaubst, aufgrund deines Verhaltens sicher und schwer angreifbar zu sein, während dir gleichzeitig einige Grundlagen in Sachen Security nicht geläufig zu sein scheinen. Damit würde ich dich als überdurchschnittlich gefährdet einschätzen. Aber das ist nun nicht Thema des Threads – bei Interesse mach doch einen in https://www.mikrocontroller.net/forum/pc-hardware-software oder im OT auf.
Jack V. schrieb: > Damit würde ich dich als > überdurchschnittlich gefährdet einschätzen. Persönliche Einschätzungen auf weichem Untergrund sind kein Dogma! Meine persönliche Einschätzung der nächsten gezogenen Lottozahlen waren immer falsch. Jetzt spare ich mir diese Einschätzung und das Geld... Thema aber OT.
Herbert Z. schrieb: > Deswegen passe ich auch gut auf wo ich mich bewege im WEB und welche > Mail ich öffne. Es geht auch eher um Passwörter bei Online Diensten, Kryptowallets, teils auch WLAN, klingt Sau doof aber Leute zahlen Cracker in diversen Foren sogar für das Knacken von WLAN Keys. Private PC werden immer uninteressanter, Smartphones haben sie abgelöst, große Verbreitung und weil eben genau dort alle Informationen lagern. Irgendwann kommt der Tag trotzdem, persönlich erwischt hat's es mich mit sowas auch schon. Ist allerdings lange her, wobei die möglichkeit heute noch besteht. Vertrauenswürdige Seiten können über gehackte Server von denen weiterer Inhalt geladen wird noch immer Schadsoftware, auch versteckt in sonst harmlosen dateien, verbreiten. Datenbanken werden veröffentlicht. Steam zb. hatte einen "harmlosen" Leak letztes Jahr.
Wer benutzt denn noch Passwörter? Passkeys sind die Zukunft!
Passkeys sind nervig weil noch schlecht unterstützt. 1. Man kann sie nicht kopieren. Das ist aus Sicherheitssicht toll, führt aber dazu das mich ein defektes Handy aussperrt. Viele Dienste erlauben keinen zweiten Passkey (für ein Reservegerät, so das man sich einloggen kann und das alte löschen) oder nutzen für diesen Fall irgendeine weniger sichere Option.... Das Schloss ist aus Diamant, die Tür aus Pappe. Sinnlos. 2. Man kann sie nicht überall nutzen. Entweder hab ich einen Passkey im PC. Der funktioniert dann nur da, nicht unterwegs. Doof. Oder der ist im Browser. Sorry, wir unterstützen nur Chrome. Will ich nicht. Doof. Oder der ist im Telefon. Das braucht Bluetooth auch im PC und unterwegs Internet. Bluetooth im PC hat man normal nicht. Ich auch kein MobFu-Internet. Zack, doof. Oder der ist in einem USB-Stick. Darf oder kann ich nicht benutzen. Doof. 3. Sie werden nur selten verwendet. Gut, ein Zoo aus verschiedenen 2FA-Systemen ist auch scheiße, aber das funktioniert. TOTP oder Code per Mail/SMS klappt akzeptiert gut, funktioniert in der Regel in all den oben genannten Ausnahmen und lässt sich übertragen/mitnehmen. Auch die ct ist irgendwann mal dazu gekommen, das Passkeys selbst in der mittlerweile verbesserten Variante praxisfern sind. Für einige wenige ganz kleine Felder super, aber im Grunde nicht anders als noch eine andere 2FA-Variante.
Jens M. schrieb: > Passkeys sind nervig weil noch schlecht unterstützt. > > 1. Man kann sie nicht kopieren. > Das ist aus Sicherheitssicht toll, führt aber dazu das mich ein defektes > Handy aussperrt. Man kann sie mit passenden Tools so ablegen, daß man sie auch kopieren kann. > Viele Dienste erlauben keinen zweiten Passkey (für ein Reservegerät, so > das man sich einloggen kann und das alte löschen) oder nutzen für diesen > Fall irgendeine weniger sichere Option.... > Das Schloss ist aus Diamant, die Tür aus Pappe. Sinnlos. Hm. Hast du mal ein Beispiel für solch einen Ambieter? Denn es ist ja systemimmanent für Passkeys, daß jedes Gerät einen eigenen bekommt. Und dazu gehört auch, daß man mehrere bei einem Anbieter erzeugen kann, und die da auch veralten können muß. > 2. Man kann sie nicht überall nutzen. > Entweder hab ich einen Passkey im PC. Der funktioniert dann nur da, > nicht unterwegs. Doof. > Oder der ist im Browser. Sorry, wir unterstützen nur Chrome. Will ich > nicht. Doof. > Oder der ist im Telefon. Das braucht Bluetooth auch im PC und unterwegs > Internet. Bluetooth im PC hat man normal nicht. Ich auch kein > MobFu-Internet. Zack, doof. > Oder der ist in einem USB-Stick. Darf oder kann ich nicht benutzen. > Doof. S.o. > 3. Sie werden nur selten verwendet. > Gut, ein Zoo aus verschiedenen 2FA-Systemen ist auch scheiße, aber das > funktioniert. TOTP oder Code per Mail/SMS klappt akzeptiert gut, > funktioniert in der Regel in all den oben genannten Ausnahmen und lässt > sich übertragen/mitnehmen. Henne-Ei-Problem. Nachdem aber alle großen Portale inzwischen passkeys anbieten oder gar präferieren, wirds mehr werden. > Für einige wenige ganz kleine Felder super, aber im Grunde nicht anders > als noch eine andere 2FA-Variante. Du hast das Grundprinzip verstanden… Oliver
:
Bearbeitet durch User
Oliver S. schrieb: > Man kann sie mit passenden Tools so ablegen, daß man sie auch kopieren > kann. Da muss man als User enorm aufpassen, ja. Da mittlerweile oft (z.B. bei ebay) gefragt wird ob man das nicht besser machen will, und man da schneller ja als nein anklickt und es dann wer weiß wo liegt, geht das aktuell oft in die Hose, wenn es denn mal hakt. Windows schmeißt die Keys ins TPM, viel Erfolg die da wieder rauszubekommen. Oliver S. schrieb: > Hast du mal ein Beispiel für solch einen Ambieter? Aus dem Stegreif nicht. Ich hab vor einem Jahr Passkeys getestet weil nichtmal die ct erklärt hat wie es geht. Seitdem meide ich das wie die Pest, weil es für mich die Sache zumindest unpraktisch macht. Oliver S. schrieb: > S.o. Meine Einwände bleiben. Ich sehe da keinen Vorteil drin so lange die PKs verschlossen sind. Oliver S. schrieb: > Nachdem aber alle großen Portale inzwischen passkeys > anbieten oder gar präferieren, wirds mehr werden. Ich hoffe nicht. Oder das die Problemchen bis dahin gelöst werden. Oliver S. schrieb: > Du hast das Grundprinzip verstanden… Mnja. Das soll doch alle PW ablösen? Das geht nur wenn es überall funktioniert und überall korrekt und flexibel umgesetzt ist. Das machen ja nichtmal die Vorreiter so. GMX: kann kein PK Amazon: kann PK, aber wohl nur in Hardware (keine Kopie). Ob mehrere gehen kann ich nicht sagen. ebay: Es geht nur ein PK. Alternativ User und PW, ohne 2FA. Papptür eben. DHL: kein PK Bahn: seit ein paar Tagen Und das waren jetzt nur die Apps auf meinem Telefon, die auch bei anderen verbreiteter sein dürften. Die (deutlich mehr) anderen können alle kein PK, kein Wunder wenn im Grunde nur ein 150MB großer Browser installiert wird. Teilweise geht nur die App (keine Webseite), und da ist nur Benutzer/Passwort drin, es gibt nichtmal 2FA.
Jens M. schrieb: > GMX: kann kein PK Ist kein Verlust… > Amazon: kann PK, aber wohl nur in Hardware (keine Kopie). Ob mehrere > gehen kann ich nicht sagen. ist a) falsch, und es gehen mehrere. > ebay: Es geht nur ein PK. Alternativ User und PW, ohne 2FA. Papptür > eben. Ebay hat schon ewig 2FA. Das nur ein passkey geht, scheint so zu sein. > DHL: kein PK Ok > Bahn: seit ein paar Tagen Eben > Und das waren jetzt nur die Apps auf meinem Telefon, die auch bei > anderen verbreiteter sein dürften. Wenn du WhatsApp, Facebook, Instagram , Microsoft, Google, Apple, usw. nicht nutzt, ist das wohl so. Ixh stimme dir ja völlig dabei zu, daß das alles überall noch klemmt, und der Versuch von Apple, Google und Microsoft, den Zugang zu gespeicherten passkeys unmöglich zu machen, der Sache nicht weiterhilft. Aber das wird sich alles klären. Oliver
Oliver S. schrieb: > Ist kein Verlust… Einer der größten Mailanbieter. Nuja. Oliver S. schrieb: > ist a) falsch die amazon Hilfe sagt, das der Key auf meinem PC im TPM oder auf meinem Telefon im "Sicheren Abschnitt" untergebracht wird. Getestet hab ichs nicht. Oliver S. schrieb: > Ebay hat schon ewig 2FA Bei der Passkey-verloren-Account-Wiederherstellung sagt die Hilfe das es ohne 2FA ist. Auch hier: keine Erfahrung, nur gegoogelt und irgendwelche FAQs gefunden. Oliver S. schrieb: > WhatsApp, Facebook, Instagram , Microsoft, Google, Apple IsneApp, IsneApp, IsneApp, Jein (ohne Account), Jein (nur die Playstore-Anmeldung, die kann kein PK sondern ist selbst eine), Nein. Wer Meta benutzt braucht sich doch um Passkeys keinen Kopp zu machen. Das muss man ja schon eigentlich bei Apple oder Google nicht mehr, denn die wollen die Passkeys natürlich gern im Cloudaccount unterbringen, warum nur.... Und was MS mit der "Telemetrie" macht bevor der PK im TPM landet kann man sich auch denken. Oliver S. schrieb: > der Versuch von Apple, Google und Microsoft, den Zugang zu > gespeicherten passkeys unmöglich zu machen Warum sind die da wohl so geil drauf? Gerade deswegen sollte man einen Yubi nutzen, aber gerade der ist so ungemein unpraktisch...
Interessante Idee und danke fürs Teilen. Für mich persönlich wäre ein offener Source nicht nur aus dem Sicherheitsaspekt, der bereits genannt wurde, interessant, sondern auch um zu sehen, wie du die Idee umgesetzt hast. Trotzdem Respekt fürs Projekt.
PwdGen nun auch für Linux verfügbar. Bei den gleichen Pins/Codeworten wird das gleiche Passwort erzeugt wie bei der Windows EXE.
Markus M. schrieb: > Es ist nur ein "Passwort-Generator", ohne Funktion Das kann der Firefox auch. Und ich habe eine Exceldatei mit der ich Zufallskennwörter erzeugen kann. Ich könnte das auch mit AutoIT erstellen und als Opensource verfügbar machen.
Bernd schrieb: > Wer benutzt denn noch Passwörter? Passkeys sind die Zukunft! Auf einem neuen Gerät brauchst Du erstmal Zugangsdaten, damit Du den Passkey bekommen kannst. Zumindest ich brauche das. Denn ich werde meine Anmeldedaten niemals der Google-Cloud anvertrauen.
:
Bearbeitet durch User
Bontje schrieb: > Für mich persönlich wäre ein offener Source nicht nur aus dem > Sicherheitsaspekt, der bereits genannt wurde, interessant, sondern auch > um zu sehen, wie du die Idee umgesetzt hast. Der Algorithmus würde ja reichen. Den könnte man dann in ein paar Zeilen Python/etc nachbauen und kontrollieren ob bei gleicher Eingabe auch dasselbe Ergebnis rauskommt. Und man könnte kontrollieren, ob auch die ganze mühsam eingetippte Entropie auch im generierten Passwort landet, oder ob elegant unterwegs ein paar Bits verloren gehen, damit das Passwort zwar sicher aussieht, aber eigentlich sehr leicht erratbar ist. Ich möchte hier an den NIST Dual_EC_DRBG - Skandal erinnern, oder an Kaspergate, wo der Kaspersky-Passwort-Manager Passwörter nur anhand von srand(time()) erstellt hat (Lösung war damals eine >1Sekündige Passwort-Würfel-Animation, damit man den "Generate"-Knopf nicht mehrfach pro Sekunde drücken konnte).
Εrnst B. schrieb: > Der Algorithmus würde ja reichen. > Den könnte man dann in ein paar Zeilen Python/etc nachbauen Für einen einfachen Passwortgenerator braucht man doch eh kein Closed-Source-Programm, Beispielcodes für viele Programmiersprachen gibt es im Internet. In Excel-VBA z.B. sind das etwa 8 bis 12 Codezeilen (bei Nutzung aller Zeichen). Bevor ich mir solche neuen Programme anschaue, interessiert mich immer, was sie besser können/machen als bereits verfügbare Programme.
René H. schrieb: > Das kann der Firefox auch. Und ich habe eine Exceldatei mit der ich > Zufallskennwörter erzeugen kann. Immer noch nicht verstanden. armselig.
Bauform B. schrieb: > Die Idee, das Passwort wirklich nirgends zu speichern, ist doch > interessant. Nur wie funktioniert die Zuordnung Passwort zu > Maschine/Anwendung? Wenn man das Passwort nirgens speichert, wie soll es dann zugeordnet werden? Ob man nun das Passwort speichert oder eine Passwortphrase, ist doch egal.
Markus M. schrieb: > Meine Idee: > Man hat einen Passwort Generator, den beschreibt man mit ganz einfachen > Buchstaben/Wörtern/Sätzen usw, die man sich relativ einfach merken kann > und gibt dem ganze noch ein Pin Code. Das Programm errechnet dann dieses > sichere Passwort. > Diese Worte braucht man sich auch nicht aufschreiben, weil man diese > sich einfach merken kann. Wenn man das sichere Passwort braucht, öffnet > man PwdGen, gibt die Worte ein und erhält jedes mal wieder das sichere > Passwort. Viel zu umständlich.
Wurde doch nun ausführlich durchgekaut. Der Input ist leicht zu merken und muss nirgends gespeichert sein. Der Output erfüllt die Komplexitätsanforderungen und wird wohl in der Praxis copy-paste über die Zwischenablage übertragen. Abtippen wäre mir bereits zu schwierig. Da man aber nicht immer einen PC dabei hat ist das ganze sinnfrei.
Alexander schrieb: > Der Input ist leicht zu merken Man soll Passwörter aber regelmäßig ändern. Und könntest Du Dir Passphrasen für 64+ Konten merken? Ich nicht. Da kann ich auch weiterhin Passwörter speichern, und zusätzlich auf TOTP setzen. Solange weiterhin keine Hacker bei mir eindringen, ist alles gut. Wenn Hacker bei einem Anbieter eindringen, ist die Art der Passwortgenerierung eh egal.
René H. schrieb: > Man soll Passwörter aber regelmäßig ändern. sicher? such mal wieviele Empfehlungen es mittlerweile gegen den Schwachsinn gibt..
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.