| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
Mao
Anmeldungsdatum: 25.09.2005
Beiträge: 4409
Wohnort: /dev/hda1
|
 Verfasst am: 17.10.2007, 22:51 Titel: Passwortsicherheit bewerten |
 |
|
Ich stelle mich da ein bisschen quer, das hier als Projekt durchgehen zu lassen...auch wenn in letzter Zeit einige Dinge als Lib, Engine oder Projekt durchgingen, die's ja nun wirklich nicht waren.
Es geht hier darum, ein Passwort auf seine Sicherheit zu prüfen. Die Function PasswortSicherheit erwartet das Passwort als String (was auch sonst) und gibt einen Integer im Bereich von 0 bis 10 zurück, wobei 0 soviel wie "nicht bestanden" oder "das denkbar Ungeeignetste" und 10 als "top" durchgeht (bzw. durchgehen sollte).
In diversen Programmen braucht man das recht oft, weshalb ich mich kurzfristig entschlossen hab, das auch mal zu machen. 
Wie gesagt schwankte ich dazwischen, im FB-Bereich und bei den Projektvorstellungen zu posten - letztendlich allerdings will ich das Ganze jedoch verbessern, weshalb ich mich für diese Kategorie entschieden habe.
Es gibt verschiedene Kriterien, die sich an Hand von Blicken auf den Source leicht rausfinden lassen sollten. 
http://www.freebasic-portal.de/index.php?s=fbporticula&mode=show&id=220
Kritik ist wie immer ausdrücklich erwünscht. 
Grüße,
Mao
/edit:
Topic leicht geändert.
@IRCler: Nein, das war nicht die "tolle Idee" die ich hatte. 
_________________
Eine handvoll Glück reicht nie für zwei.
--
 |
|
| Nach oben |
|
 |
PMedia
Anmeldungsdatum: 14.08.2006
Beiträge: 2847
|
| Verfasst am: 17.10.2007, 23:16 Titel: |
|
|
hmm, keine socketfunktionen drin, ich denk mal ich kanns wagen
Mein Passwort hat eine Stärke von 10
(Und ja, es ist mein aktuelles Passwort, im übrigen leicht für mich zu merken ) |
|
| Nach oben |
|
|
ytwinky
Anmeldungsdatum: 28.05.2005
Beiträge: 2624
Wohnort: Machteburch
|
| Verfasst am: 17.10.2007, 23:17 Titel: |
|
|
Hi,
jetzt weiß ich, wofür du die In[..]-Funktion von Pascal gebraucht hättest 
| Code: | ' für Ausgewogenheit der Anteile der Zeichenarten jeweils einen Punkt
iWertung-=(iGrBst>0)-(iKlBst>0)-(iZahlen>0)-(iSonder>0)
iWertung-=(iGrBstPr>20)-(iKlBstPr>20)-(iZahlen>10)-(iSonderPr>10) |
Die Klammern dienen nur der Übersichtlichkeit
Das könnte natürlich durch Abs() und + ersetzt werden, aber True ist MEISTENS -1, also funktionierts..
[Edit]
MEISTENS deshalb, weil in diesem Fall nämlich nicht: | Code: | #include "windows.bi"
?"True=" &True
Sleep |
Gruß
ytwinky
_________________
| v1ctor hat Folgendes geschrieben: | | Yeah, i like INPUT$(n) as much as PRINT USING.. |
..also ungefähr so, wie ich GOTO..
Zuletzt bearbeitet von ytwinky am 17.10.2007, 23:44, insgesamt einmal bearbeitet |
|
| Nach oben |
|
|
Jojo
alter Rang
Anmeldungsdatum: 12.02.2005
Beiträge: 9736
Wohnort: Neben der Festplatte
|
| Verfasst am: 17.10.2007, 23:23 Titel: |
|
|
PMedia, wenn ich da an den Pädophilen denke, dessen verzerrters Gesicht deutsche Experten entzerrt hatten, würde ich mein PW nicht mehr mit ein bissl Anti-Alias "geschützt" posten
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.
 |
|
| Nach oben |
|
|
PMedia
Anmeldungsdatum: 14.08.2006
Beiträge: 2847
|
| Verfasst am: 17.10.2007, 23:27 Titel: |
|
|
Jojo, das ist nicht Anti-Alias, sondern Blur 99%ig ++ Pixelize auf Stufe 6px/px ++ Explode Stufe 20 ++ Blur 99%ig... bin doch net blöd
Zumal, nach 1x Blur 99% hab ich es mit Insiderwissen noch lesen können... |
|
| Nach oben |
|
|
Jojo
alter Rang
Anmeldungsdatum: 12.02.2005
Beiträge: 9736
Wohnort: Neben der Festplatte
|
| Verfasst am: 17.10.2007, 23:46 Titel: |
|
|
Wieso kannst du nicht einfach irgendein passwort damit testen? und vor allem, wieso musst du einen screenshot posten? Oo
Mit dem error&try-prinzip kriegste das teil gnaz schnell rekonstruiert... jetzt wissen wir ja sogar, wie...
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.
|
|
| Nach oben |
|
|
nemored
Anmeldungsdatum: 22.02.2007
Beiträge: 4702
Wohnort: ~/
|
| Verfasst am: 17.10.2007, 23:47 Titel: |
|
|
hmm ... warum bekomme ich bei einem 8 Zeichen langen String aus Klein- und Großbuchstaben und einem Leerzeichen die Stärke 7 (scheint mir etwas zu viel) und bei einem 8 Zeichen langen String aus Klein- und Großbuchstaben und einem Komma die Stärke 0? Wo ich doch schon bei abcdefgh die Stärke 3 erhalte. Trennt das Komma die Eingabe?
_________________
Deine Chance beträgt 1:1000. Also musst du folgendes tun: Vergiss die 1000 und konzentriere dich auf die 1. |
|
| Nach oben |
|
|
ytwinky
Anmeldungsdatum: 28.05.2005
Beiträge: 2624
Wohnort: Machteburch
|
| Verfasst am: 17.10.2007, 23:51 Titel: |
|
|
| PMedia hat Folgendes geschrieben: | | das ist nicht Anti-Alias, sondern Blur 99%ig ++ Pixelize auf Stufe 6px/px ++ Explode Stufe 20 ++ Blur 99%ig.. |
..ich hätte das Paßwort einfach ausgeschnitten und mit einem gleichfarbigen Schnipsel ersetzt, aber wahrscheinlich nur, weil ich von Anti-Alias, Pixelize wieauchimmer, Explode wasweißichdenn und Blur 100% keine Ahnung habe 
[Edit]
@nemored:
| Maos Programm hat Folgendes geschrieben: | |
..also trennt das Komma deine Eingabe, da Mao nicht 'Line Input' verwendet..
_________________
| v1ctor hat Folgendes geschrieben: | | Yeah, i like INPUT$(n) as much as PRINT USING.. |
..also ungefähr so, wie ich GOTO.. |
|
| Nach oben |
|
|
dreael
Administrator
Anmeldungsdatum: 10.09.2004
Beiträge: 2529
Wohnort: Hofen SH (Schweiz)
|
| Verfasst am: 18.10.2007, 08:15 Titel: |
|
|
Im Rahmen unserer Sicherheitsaudits sind Passwörter schon vielfach unter realen Bedingungen geprüft worden. Wer reale Bedingungen haben möchte, kreiert sich mit
eine Handvoll Windows-Benutzer mit den zu testenden Passwörtern und liest diese mit einschlägigen Tools (Links und Namen aus Board-Netiquetten-Regeln hier keine genannt!) aus und lässt sie auf einer separaten Maschine knacken.
Noch so viel dazu: Wie unter Microsoft KB147706 beschrieben, können recht gute Passwörter mit der LAN-Manager-Rückwärtskompatibilität zunichte gemacht werden, wie praktische Beispiele schon vielfach bestätigt haben! Übrigens hat es Microsoft erst seit Windows Vista geschafft, dieses Steinzeit-Relikt aus der DOS-Zeit vollständig aus ihrer SAM-Datenbank standardmässig zu eliminieren!
Für sämtliche Vorgänger-Windows-Versionen sollte man nach Möglichkeit KB299656 anwenden!
_________________
Teste die PC-Sicherheit mit www.sec-check.net |
|
| Nach oben |
|
|
Mao
Anmeldungsdatum: 25.09.2005
Beiträge: 4409
Wohnort: /dev/hda1
|
| Verfasst am: 18.10.2007, 12:01 Titel: |
|
|
Morgähn!
Normalerweise hätte ich auf das Posten von so 'nem Code verzichtet, aber hier geht's ganz allgemein nicht darum, dass der Code eine bestimmte Befehlsfolge abarbeitet (klar, macht's nat. trotzdem. ), sondern darum dem User ein Mittel zur Verfügung zu stellen, das seinen Account besser schützen soll. (Egal, welche Anwendung - ist eigentlich mal für eine Spätere meinerseits geplant.)
Und hier wollt ich halt mal grobe Meinungen, wie das Verhältnis "Ich denke es ist genau *so* gut" und "Der Algorithmus meint es ist nur *so* gut" so ist. Also ob der Algorithmus ungefähr realistische Werte bringt.
@dreael:
Ja, klar, das ist leider ein "kleines" Schlupfloch und ich hatte damals mein ach so sicheres "zufälliges" Passwort in knapp über einer Minute. 
@nemored:
Stimmt, schneidet nach Kommastelle ab - ist eine Gewohnheitssache für kurze Tastatureingaben nur INPUT zu nehmen.  Seh ich im Moment jedoch weniger tragisch, da das bloß die Hülle ist, um das Ganze zu testen.
Trotzdem danke für den Hinweis! (Passiert mir öfters...)
@ytwinky:
Nein, ich brauchte das in[x..y]-Sprachmittel nicht exklusiv dafür, aber hier hätte es zum Beispiel auch eine gute Einsatzmöglichkeit gegeben. (Liest sich einfach besser als so eine Extra-Function.).
Danke allen Testern!
Grüße,
Mao
_________________
Eine handvoll Glück reicht nie für zwei.
--
|
|
| Nach oben |
|
|
volta
Anmeldungsdatum: 04.05.2005
Beiträge: 1876
Wohnort: D59192
|
| Verfasst am: 18.10.2007, 12:29 Titel: |
|
|
Hi Mao,
kleinen Bug gefunden und ein paar Vorschläge zur Punktevergabe
| Code: | ' für jede "Zeichenart" einen Punkt
If iKlBst>0 Then iWertung+=1
If iGrBst>0 Then iWertung+=1
If iZahlen>0 Then iWertung+=1
If iSonder>0 Then iWertung+=1
'Alles zu nutzen sollte einen Extrapunkt geben :)
If iKlBst>0 And iGrBst>0 And iZahlen>0 And iSonder>0 Then iWertung+=1
' für Ausgewogenheit der Anteile der Zeichenarten jeweils einen Punkt
If iGrBstPr>20 Then iWertung+=1
If iKlBstPr>20 Then iWertung+=1
If iZahlenPr>10 Then iWertung+=1 ' iZahlenPr statt iZahlen !!!!!
If iSonderPr>10 Then iWertung+=1
'zuviel von einer Sorte ist schlecht :)
If iGrBstPr>80 Then iWertung-=1
If iKlBstPr>80 Then iWertung-=1
If iZahlenPr>60 Then iWertung-=1
'Sonderfälle
If iGrBst = 1 Then 'Begriff | Name ?
If ZeichenInString(Left(sPasswort,1), Asc("A"), Asc("Z")) = 1 Then iWertung-=2
End If
If iZahlen > 0 Then 'Jahreszahlen | Geburtsdatum | Nummer - angehängt
If ZeichenInString(Right(sPasswort,iZahlen), Asc("0"), Asc("9")) = iZahlen Then iWertung-=1
End If |
_________________
Warnung an Choleriker:
Dieser Beitrag kann Spuren von Ironie & Sarkasmus enthalten.
Zu Risiken & Nebenwirkungen fragen Sie Ihren Therapeuten oder Psychiater. |
|
| Nach oben |
|
|
Mao
Anmeldungsdatum: 25.09.2005
Beiträge: 4409
Wohnort: /dev/hda1
|
| Verfasst am: 18.10.2007, 13:47 Titel: |
|
|
Danke für den Hinweis mit dem Bug!
Und die Vorschläge find ich auch gut! (Evtl. sollte man bei der Jahreszahl vllt. prüfen, ob das Jahr schon vorbei ist oder so.)
Danke!
Mao
/edit: Editierter Code siehe http://www.freebasic-portal.de/index.php?s=fbporticula&mode=show&id=224
_________________
Eine handvoll Glück reicht nie für zwei.
--
|
|
| Nach oben |
|
|
jensma
Anmeldungsdatum: 16.05.2005
Beiträge: 85
Wohnort: Gleich neben Frankfurt, zwei Zimmer neben Lloyd!
|
| Verfasst am: 18.10.2007, 17:08 Titel: |
|
|
Mhh, bei mir sagt er nicht, wie sicher mein Passwort ist...
Komisch. Das Programm beendet einfach. |
|
| Nach oben |
|
|
nemored
Anmeldungsdatum: 22.02.2007
Beiträge: 4702
Wohnort: ~/
|
| Verfasst am: 18.10.2007, 17:24 Titel: |
|
|
password too complex? 
_________________
Deine Chance beträgt 1:1000. Also musst du folgendes tun: Vergiss die 1000 und konzentriere dich auf die 1. |
|
| Nach oben |
|
|
Eternal_pain
Anmeldungsdatum: 08.08.2006
Beiträge: 1783
Wohnort: BW/KA
|
| Verfasst am: 18.10.2007, 18:23 Titel: |
|
|
sollte mir denken geben das ich bei meinen verschiedenen passwörtern 2,6,7 und 10 habe wobei das letzte benutz ich in den wenigsten faellen da einfach zu lang
_________________
 |
|
| Nach oben |
|
|
jensma
Anmeldungsdatum: 16.05.2005
Beiträge: 85
Wohnort: Gleich neben Frankfurt, zwei Zimmer neben Lloyd!
|
| Verfasst am: 18.10.2007, 18:33 Titel: |
|
|
| nemored hat Folgendes geschrieben: | | password too complex? |
Nein nein, es ist nicht allzu komplex. Es hat nichtmal Sonderzeichen und auch keine Zahlen. Und es ist kürzer als sechs Zeichen.
Nachtrag: Hehe, das Passwort "Passwort" erreicht immerhin eine '3' |
|
| Nach oben |
|
|
AndT
Anmeldungsdatum: 02.04.2007
Beiträge: 481
|
|
| Nach oben |
|
|
Mao
Anmeldungsdatum: 25.09.2005
Beiträge: 4409
Wohnort: /dev/hda1
|
| Verfasst am: 18.10.2007, 21:50 Titel: |
|
|
Naja, selbst die meisten DAU's dürfen wissen, dass ein Passwort á la "aaaaaaaaaaaaaaaaaaaa" nicht automatisch sicher ist, nur weils lang ist. Trotzdem bietet es einen nicht zu verachtenden Schutz, je nachdem wie bspw. der Bruteforcer implementiert ist.
| AndT hat Folgendes geschrieben: |
Das Programm bewertet sehr streng.
|
Das Ganze soll auch nicht als Programm, sondern als Algorithmus für spätere Anwendungen meinerseits (nat. auch von anderen, falls da jmd. möchte ) dienen. Und war insofern nur "Vorarbeit".
Um aber auf den Punkt zurückzukommen: Schonmal geschaut, wie viele Passwörter ein einigermaßen gut ausgestatteter Rechner in der Sek. durchprobieren kann?
_________________
Eine handvoll Glück reicht nie für zwei.
--
|
|
| Nach oben |
|
|
Devilkevin
aka Kerstin
Anmeldungsdatum: 11.11.2004
Beiträge: 2532
Wohnort: nähe Mannheim
|
| Verfasst am: 18.10.2007, 22:31 Titel: |
|
|
Eventuell eine kleine Wordlist mitliefern die checkt ob das Password auf gängigen Wordlisten für Bruteforce-Progs steht ...
_________________
www.piratenpartei.de |
|
| Nach oben |
|
|
AndT
Anmeldungsdatum: 02.04.2007
Beiträge: 481
|
| Verfasst am: 18.10.2007, 22:55 Titel: |
|
|
Die grössten Fehler die man überhaupt machen kann :
1. Username und Passwort sind identisch. Besonders ungünstig in einem Forum da jeder den Usernamen kennt.
2. Das Passwort wird dem Thema angepasst um das es geht. Im Hunde-Forum ist das Passwort dann 'hund', im Flash-Forum 'flash usw.
3. Schimpfworte wie 'f**k' oder 's**t' kommen öfters vor als man glaubt. Und das wissen auch die Passwortdiebe.
4. Wörter wie 'passwort', 'pass', 'password', 'geheim' oder 'forum' sind auch sehr beliebt. Ein bisschen Kreativität sollte eigentlich kein Problem sein.
5. Offenkundige Zusammenhänge werden auch leicht erraten. Zum Beispiel als Username 'BigMac' und als Passwort 'mcdonalds' oder 'pizza' und 'essen'.
_________________
Bis irgendwann... |
|
| Nach oben |
|
|
|
FAQ
Suchen
Mitgliederliste
Benutzergruppen
Registrieren
Profil
Einloggen, um private Nachrichten zu lesen
Login
