Passwortliste erstellen

Bild

Betrifft: Passwortliste erstellen
von: Christoph
Geschrieben am: 01.09.2015 15:25:45

Hallo,
nach längerer Suche hier im Forum und bei google, muss ich doch etwas neues Aufmachen.
Ich benötige einen "Passwortgenerator" (in welcher Form auch immer), welcher ca 1000 6 stellige Passwörter aus 3 Zeichen a-z und aus 3 Zahlen 1-9 erstellen kann. Die Zusammensetzung soll zufällig sein.
Bei meiner Suche bin ich über zahlreiche ähnliche Anfragen gestoßen und ich habe versucht daraus etwas zusammenzusetzen, leider ohne Erfolg.
Ich bitte um Hilfe.
Gruß
Christoph

Bild

Betrifft: AW: Passwortliste erstellen
von: Michael (migre)
Geschrieben am: 01.09.2015 15:51:22
Hallo Christoph!
zB so: https://www.herber.de/bbs/user/99953.xlsx
Reicht Dir das? Allerdings handelt es sich hier mathematisch um keine 100-% "echten Zufallszahlen". Man kann hier mit VBA noch etwas "bessere"/"zufälligere" Zahlen erzeugen, aber auch die reichen, meines Wissens, nicht hinlänglich an echte Zufallszahlen heran. Recherchiere diesbzgl. einmal nach Pseudo-Zufallszahlen oder pseudo random numbers.
Aber ich selbst nutze ähnliche Konstruktionen bisweilen bei manchen Excel-Projekten - Mein Steuerkonto würde ich damit evtl. nicht verschlüsseln ;-).
LG
Michael

Bild

Betrifft: AW: Passwortliste erstellen
von: Rudi Maintaire
Geschrieben am: 01.09.2015 16:13:18
Hallo Michael,
kleine Kürzung:
anstatt
ZEICHEN(ZUFALLSBEREICH(49;57))
reicht doch
ZUFALLSBEREICH(1;9)
Ansonsten: Gute Idee.
Gruß
Rudi

Bild

Betrifft: AW: Stimmt! Danke, Rudi - owT
von: Michael (migre)
Geschrieben am: 01.09.2015 16:21:48


Bild

Betrifft: Gedanken zur Sicherheit
von: Michael
Geschrieben am: 01.09.2015 19:18:55
Hi zusammen,
wenn man Excel kann, geht's halt auch ohne VBA - très élégant!
Ich habe zwei kleine Makros geschrieben, wobei das obere keine doppelten Paßwörter erzeugt. War zwar nicht Bedingung, aber Rudi hat mich motiviert, mich mal mit Dictionaries zu befassen.
Eine bekannte Softwareschmiede verwendet ähnlich strukturierte Paßwörter, allerdings nicht umsonst mit 25 Stellen.
Denn:
Buchstaben und Zahlen *können* insgesamt 36 verschiedene "Zeichen" ergeben, aus denen gezogen wird. Das ergibt eine *theoretische* Anzahl von Kombinationen von 36 hoch 6, das sind: 2.176.782.336.
Durch die Beschränkung auf 3 Ziffern und 3 Buchstaben verringert sich diese Anzahl *sehr deutlich*, und
zwar auf 10 x 10 x 10 x 26 x 26 x 26 = 10^3 x 26^3 = 17.576.000
Da die Positionen innerhalb der 6 möglichen Zeichen variabel sind, multiplizieren wir mit einen Faktor 20 (siehe Tabelle Kombinatorik) und erhalten: 351.520.000
Das ist *nur noch* ein Prozentsatz von rund 16% oder gut einem Sechstel der ursprünglichen Möglichkeiten, abzüglich der *eventuellen, nicht genannten* Vorgabe, daß es keine doppelten Paßwörter geben darf.
Wenn man so ein 6-stelliges Paßwort eingibt bei
https://howsecureismypassword.net/
kommt heraus, daß das Paßwort in ca. 0,5 Sekunden geknackt werden kann.
Wenn man sich die Details ansieht, stellt man fest, daß die Website von 36^6, also den rund 2 Mrd. Möglichkeiten ausgeht.
Ob man diese 0,5 Sekunden mal die 16% nehmen muß, sei dahingestellt, denn eine Brute-Force-Attacke rechnet natürlich alle 2 Mrd. Werte durch und weiß vorderhand nicht, wie viele davon wir überhaupt verwenden.
Datei: https://www.herber.de/bbs/user/99959.xls
Schöne Grüße,
Michael

Bild

Betrifft: Deshalb verwende ich auch etwas ganz Anderes, ...
von: Luc:-?
Geschrieben am: 01.09.2015 21:00:35
…Michael,
allerdings auch für etwas andere Zwecke, weil das bei meinen Xl-Versionen nicht sonderlich sinnvoll wäre… ;-]
Gruß, Luc :-?

Bild

Betrifft: AW: Passwörter auf Sicherheit prüfen...
von: Michael (migre)
Geschrieben am: 02.09.2015 09:14:44
Hallo zusammen,
...kann man übrigens auch auf Wolfram Alpha. Bei Eingabe von "password" und der gewünschten Zeichenfolge werden einige Passwort-Berechnungen schön übersichtlich präsentiert; u.a. der geschätze, benötigte Zeitaufwand um Selbiges zu knacken.
Ich gebe einem Service wie Wolfram Alpha hinsichtlich der Überprüfung von Passwörtern klar den Vorzug ggü. diversen anderen "Passwort-Prüf-Seiten" - da hab ich immer das Gefühl, diese Services zielen nur darauf ab, Material für Regenbogen-Listen u.Ä. zu sammeln.
Nur als Tipp!
LG
Michael

Bild

Betrifft: AW:AW: Gedanken zur Sicherheit
von: Michael
Geschrieben am: 02.09.2015 14:59:54
Hi zusammen,
@Luc :-? Dein Beitrag ist *ausnahmsweise* sehr kurz und vor allem abstrakt - was willst Du mir damit sagen?
Aber gut: ich verwende für andere Sachen auch andere Programme, hehe.
Ich bastele seit rund einem Jahr mit Zufallsgeneratoren, Passwörtern und Verschlüsselung herum, und X scheint mir als Wrapper für z.B. 7zip (und eigene, kommandozeilenbasierte Pascal-Programme mit Isaac oder Mersenne Twister) zu taugen, aber nicht zur "ernsthaften" Verwendung des X-eigenen Zufallsgenerators.
Letztlich kann man ja den "Großen" nicht trauen - ob sie nicht eingesammelte Informationen mal schnell "nach Hause funken".
Abgesehen davon ist es eine Sache, eine Reihe Passwörter zu erzeugen und eine andere, einen PseudoRandomNumberGenerator für eine direkte Verschlüsselung von Daten einzusetzen: bei Passwörtern sollte X auch funktionieren (am besten auf einem alten XP-Rechner, der *nicht* am Netz hängt), aber verschlüsseln halt dann mit "kryptografisch sicheren" PRNGs.
Weil wir schon beim Thema sind: anbei https://www.herber.de/bbs/user/99973.xls
ein Generator für eine erweiterte Variante der von der c't vorgestellten Passwortkarte. Info in Datei.
@Michael: vielen Dank für die Info, die Seite sieht interessant aus. Allerdings finde ich die Ermittlung der Pwd-Strength etwas ungenügend: es wird zwar richtigerweise festgestellt, daß sich ein Pwd aus Kleinbuchstaben und Ziffern zusammensetzt, allerdings wird die

"Number of Pwds" mit ca. 2^29 = ca. 729 Mio.

angegeben. Ich kann a) nicht nachvollziehen, wie die Jungs auf 2^29 kommen, und das wären denn auch keine 729 Mio, sondern vielmehr rund 537 (536.870.912): es wird also sowohl ein falsches Ergebnis errechnet, und das wird dann wiederum falsch umgerechnet!
Zuverlässiger und wirklich detailliert ist das Ergebnis von CrypTool 2, das hierzulande zu Lehrzwecken entwickelt wurde, siehe https://www.cryptool.org/de/
Mit dem "Materialsammeln" schließe ich mich Dir natürlich an, aber a) schreibt "howsecure" natürlich dick und fett, daß man keine "echten", sondern nur vergleichbar strukturierte Pwds eingeben soll und b) habe ich mir mal die Mühe gemacht, mich durch das JS bis zur Datei mit der Wörterliste durchzuhangeln: das waren letztes Jahr so um die 100.000, natürlich auf die USA zugeschnitten ("bitch123" usw.).
Die wird nämlich tatsächlich durchsucht, und dann erscheint: das Pwd wird "instantly" geknackt.
Ich würde Euch ja bei Interesse mal Spielereien von mir hochladen, aber den Code von Zeug, was ich vor einem Jahr programmiert habe, kann ich nach der Forumsarbeit seither selber "nicht mehr sehen".
Na denn, happy exceling,
Michael

Bild

Betrifft: AW: Krypto-Spielereien...
von: Michael (migre)
Geschrieben am: 02.09.2015 15:19:41
Michael,
... stehen bei mir immer hoch im Kurs ;-), also ich hätte nix dagegen, wenn Du uns hier ein paar Deiner Spielereien zur Verfügung stellen würdest. Ich glaub allen, die selbst ernsthaft entwickeln/Skripten/programmieren/powerusen..., ist klar, dass sich die eigenen Programmierfähigkeiten stetig erweitern, anpassen - und aus meiner Sicht muss sich niemand für "alten", evtl. nicht so eleganten, Code schämen; getreu dem Motto "if it's stupid, but it works, it ain't stupid" ¯\_(ツ)_/¯.
Zu Deinen Anmerkungen bzgl. Wolfram Alpha - so tief bin ich da noch nicht eingestiegen, ich sehe Du bist hier ziemlich im Detail, da kann ich momentan nicht wirklich mit argumentieren. Aber ich bin mir sicher, wir werden uns vermutlich bei der Forumsarbeit immer wieder mal hinsichtlich Krypto-Themen "treffen" - vielleicht kann ich mich da auch mal eingehender beschäftigen (ich tauche da nur an der Oberfläche aktuell).
Und zu der Wörterliste von howsecure sag ich nur: Ha, hab ich's doch gewusst! ;-) Dass die einen entsprechenden Hinweis setzen ist natürlich auch klar - aber ob das an Vertrauenswürdigkeit reicht?
Übrigens eine schöne Umsetzung der Password-Card findet sich auch hier: http://www.passwordcard.org/en
Ich hab mir auch mal eine kleine Excel-Passwortkarte gebastelt; falls ich die noch finde (man sieht, ich arbeite viel mit ihr), reiche ich sie nach.
Witzig, was aus diesem Faden geworden ist...
LG
Michael

Bild

Betrifft: AW: Krypto-Spielereien...
von: Michael
Geschrieben am: 02.09.2015 21:39:38
Hallo Michael,
ich könnte schwören, ich hätte schon kurz geantwortet, aber wahrscheinlich hatte ich zwischenzeitlich den Brauser geschlossen, ohne es abgeschickt zu haben.
Vielen Dank für Deine motivierenden Worte, das tut mal richtig gut!
Und, hehe, man sieht, ich arbeite viel mit ihr: zum Glück setzt Papa Herber ein Cookie.
Ich hab mal eine der Sachen geschnappt, die ich eh nochmal ansehen mußte, derweil ich zunächst übersehen hatte, was in der Hilfe zu Rnd() steht.
Das habe ich jetzt eingebaut: https://www.herber.de/bbs/user/99988.xls
Das Ding ist zur Veranschaulichung der Wirkungsweise von Rnd und Randomize - Grundlagenforschung.
Ich hab mir grad noch ne Beschreibung aus den Fingern gesaugt.
Errata welcome.
Die nächste Stufe benutzt den Mersenne Twister von Free Pascal, einmal ohne seed, einmal mit. Laut Netz braucht MT rund 700.000 Durchgänge, bis er einigermaßen "gleichverteilte" Werte ausspuckt. Die Pascal-Programme (die Syntax ähnelt ja VB) haben nur ein paar 50 Zeilen und lassen sich im Netz kompilieren.
Weiterhin werden Zufallszahlen von Random.Org importiert.
Ich mag jetzt weg von der Kiste, d.h., ich lade schnell die engl. Version hoch, die hab ich grad parat: https://www.herber.de/bbs/user/99989.xls
Happy Exceling,
Michael

Bild

Betrifft: AW: Hammer!
von: Michael (migre)
Geschrieben am: 03.09.2015 09:17:35
Hallo Michl ;-)...
... Also wenn Dich mein gestriger Beitrag schon motiviert hat, sag ich nur: Chapeau! Starke Leistung, was Du da jetzt noch nachgeliefert hast. Mir hat schon die erste Datei zur Seed-Generierung aus einem Freitext gefallen, aber die Pascal-Geschichte ist Weltklasse! Sehr schön umgesetzt, und nebenbei gefällt mir auch die Art, wie Du Infos und Hilfe in den Dateien aufbereitest. \,,/(-_-)\,,/
Danke, dass Du dies hier zur Verfügung stellst - falls das mal in einem Projekt von mir gebraucht wird, ist Dir Namensnennung sicher!
Nachdem Du hier schon weit fortgeschritten bist: Schau Dich mal, bei Interesse, hier um http://www.cryptosys.net/, speziell http://www.cryptosys.net/apiexcel.html . Die bieten diverse Krypto-Bibliotheken u.a. auch für die VBA-Entwicklung. Ich hatte bisher weder die Zeit noch die Lust mich damit eingehend zu beschäftigen, aber von dem was ich so gesehen habe lässt sich bspw. Blowfish u.a. mit VBA umsetzen. Könnte Dir gefallen!
Und damit das Niveau wieder sinkt, hier noch meine alte Passwortkarte, hab's gefunden: https://www.herber.de/bbs/user/99991.xlsx. Nutzt das gleiche Prinzip, dass ich schon für Christophs Ausgangsfrage verwendet habe, allerdings inkl. Sonderzeichen; vorausgesetzt wird, dass man weiß wie eine Passwortkarte im Prinzip funktioniert - Format ist auf Kreditkartengröße angepasst.
Noch eine schöne Woche!
Michael

Bild

Betrifft: Herzlichen Dank,
von: Michael
Geschrieben am: 03.09.2015 16:49:41
Michael,
für das dicke Kompliment!
Ganz besonders freut es mich, daß Dir die Aufmachung gefällt. Der Punkt ist, daß ich in Kürze eine Kurs zu dem Thema leiten werde (naja, falls es genug TN gibt, die melden sich mittlerweile immer erst zwei Tage vorher an); ich hoffe, ich habe einigermaßen die Form für didaktische Zwecke gefunden.
Deine Passwortkarte finde ich superhandlich, vielen Dank - einmal mehr nehme ich mir vor, sie auch zu benutzen.
Den link habe ich mir angesehen. Die Sachen sind sicher nicht verkehrt, kosten aber schon mal - außerdem muß man den Jungs vertrauen. Wenn man alles selbst kompiliert, weiß man, was man hat.
Das ist ja letztlich der Gedanke der ganzen OpenSource-Gemeinde.
Den Versuch, x-1000 Zeilen Code in C++ von irgendwelchen Systemfuzzis zu verstehen, unternehme ich gar nicht erst, aber mit ein paar Zeilen Pascal und VBA kommt man ja auch schon ein ganzes Stück weit.
Mein Crypto-Papst ist übrigens Herr http://www.wolfgang-ehrhardt.de/
Es erschreckt mich, wie wenig Ahnung ich habe, aber selbst als "Blinder" kann man sich passende Sources für Pascal herunterladen und studieren und hie und da einbauen...
Anbei eine Studie, die einen Schritt in Richtung "echte Anwendung" geht. Sie ist nicht wirklich ausgegoren, da die verschlüsselten Datein die Nr. des verwendeten Paßworts an die *Extension* gehängt bekommen. Ich war bisher zu faul, sie beim Entschlüsseln wieder zu entfernen, so daß eine ver- und entschlüsselte PDF dann etwa heißt xyz.pdf22 - wenn man die zwei 2er im Explorer entfernt, hat man wieder die ursprüngliche Datei. Also: zweimaliges XOR mit dem gleichen Schlüsselstrom stellt den Ursprungszustand wieder her.
[Wollte es so nicht hochladen: habe einen Button zum "Entfernen" der Ziffern an der Extension reingemacht: schnell, schnell, aber ich bekomme Besuch.]
Enthalten sind zwei Pascal-Varianten, eine schlechte schnelle und eine bessere langsame, wobei beide für mich gedanklich "überholt" sind: Fortsetzung folgt.
Übrigens habe ich einen Zwischenschritt zwischen den ersten und dieser Datei unterschlagen: nämlich die Erzeugung von Passwörtern aus den oben generierten/importierten Zufallszahlen, von denen ich einen Satz hier reinkopiert habe: https://www.herber.de/bbs/user/100011.xls
Schöne Grüße,
Michael

Bild

Betrifft: Krypto: reines Excel
von: Michael
Geschrieben am: 04.09.2015 17:25:20
Hi Michael,
ich habe mich heute mal hingesetzt und die Geschichte in reinem VBA umgesetzt; der Zufallsgenerator in X ist ja nicht "kryptografisch sicher", aber mit ein paar Kleinigkeiten kann man ihm schon auf die Sprünge helfen (hier nur mal mit "Mau-Mau-Modus" - so á la 7: zwei Karten ziehen).
Ich bin mir nicht sicher, ob ich das File I/O richtig gestaltet habe, aber es rennt auch mit Files von (getestet) 3,5 MB, ohne in einer Schleife zu puffern.
Nur: 2 MB mit Excel brauchen in etwa die 150-fache Zeit von 3,5 MB in der Pascal-Variante mit Shell (die aber mit 4K-Häppchen arbeitet - muß ich mal in Excel testen).
KANN es sein, daß das Riesenarray so viel "Verwaltungsaufwand" im Speicher braucht, daß es daran liegt?
Naja, die Geschwindigkeit ist ja zum Herumspielen egal: ich lad Dir mal die X-Version hoch, da entfällt die Kompiliererei: https://www.herber.de/bbs/user/100018.xls
Schöne Grüße,
Michael

Bild

Betrifft: AW: Spitzenmäßig! Nochmal großes Lob und Danke
von: Michael (migre)
Geschrieben am: 07.09.2015 14:37:12
Hi Michl!
Ich hoffe, Du stellst diese Studien tatsächlich auch aus eigenem Interesse an, und werkelst da nicht "nur" für mich bzw. das Forum.
Ist wieder eine geniale Studie, die Du da zeigst - ich bedanke mich abermals und verneige mich m(_ _)m
Hier noch für Dich (wie gesagt, bei meinen Beiträgen sinkt das Niveau im Vergleich) bzgl. Passwort-Generierung noch eine andere meiner (alten) Ideen: https://www.herber.de/bbs/user/100063.xlsm
Hier dauert es schon ein ganzes Stück, bis die gleiche Pseudozufallszahl das gleiche Zeichen zurückgibt!
Da dieser Faden demnächst archiviert wird; ich bin diese Woche gut eingedeckt mit Arbeit - d.h. ich werde nur sporadisch bzw. etwas weniger im Forum aktiv sein. D.h. falls Du in diesem Faden nicht mehr von mir liest: DANKE!!! für Deine bisherigen Studien, Beiträge, Einreichungen - MIR haben sie jedenfalls gefallen und wer weiß, wann das wieder Thema wird! Ansonsten: Wir lesen uns ja wieder hier (im Forum, nicht im Faden... )
Schöne Woche
Michael

Bild

Betrifft: Herzlichen Dank auch,
von: Michael
Geschrieben am: 07.09.2015 15:36:33
Michael,
für Dein Interesse: ich beschäftige mich damit schon aus Eigeninitiative, aber Du motivierst mich halt auch ungemein!
Bitte hör auf, Dich zu verneigen, gell, Du stehst ja leider nicht in den Profilen, hast aber sicher einige 1000 Antworten mehr gegeben als ich: wir unterhalten uns schon auf Augenhöhe.
Dein Generator gefällt mir sehr gut: das ist Excel, wie es sich gehört: Eleganz & Funktion!
Noch ein kleiner Nachtrag zum "reinen Excel": ich habe blockweises Lesen getestet und festgestellt, daß Excel und Pascal beim reinen file I/O quasi gleichschnell sind: d.h., der Geschwindigkeitsunterschied muß wohl am Rnd() liegen.
Also gut, ich wünsche Dir auch ne schöne Woche, und bis zum nächsten Faden
happy exceling,
Michael

Bild

Betrifft: AW: Passwortliste erstellen
von: Christoph
Geschrieben am: 02.09.2015 09:25:33
@Michael
Genau danach habe ich gesucht. Deine Gedanken sind durchaus berechtigt, aber dieses Passwort ist eine Ergänzung zu einer 2 Faktorauthentifizierung. Es gibt zusätzlich noch einen Benutzernamen und ein weiteres Userpasswort.
Vielen Dank!
Gruß
Christoph

Bild

Betrifft: AW: Freut mich, Danke für die Rückmeldung!, owT
von: Michael (migre)
Geschrieben am: 02.09.2015 09:41:41


 Bild

Beiträge aus den Excel-Beispielen zum Thema "Passwortliste erstellen"