Passwort Generator

[skytec]

Hallo zusammen,

hat jemand Erfahrung mit dem unten genannten Generator? Im Flugzeug Modus lassen sich auch Passwörter erstellen. Ist dies eine sichere Quelle für Passwörter, wenn man die PW im Flugzeug Modus erstellt ?

https://privacytools.it-sec.rocks/password.html

 

[martinallnet]

Einfach das Linux-Paket pwgen nutzen.

 

[kamanu]

Du müsstest uns den Generator schon nennen

 

[HITCHER_I]

Erstelle dir so eine Karte, dann kannst offline Passwörter generieren:

https://www.passwordcard.org/en

Der og. Generator von privacytools ist aber auch ok, der nutzt ein JS Programm im Browser.

 

[Sahit]

@skytec Bevor du irgendein ominöses Programm (nicht genanntes) nimmst schreib dir doch in Excel was selber ist nicht der Herausforderung und zur not gibt es Anleitungen im Internet.

 

[GrinderFX]

Es gibt spezielle Chips dafür basierend auf Weltraumrauschen...

 

[Der Lord]

...oder alternativ einfach ein Einzeiler in Powershell, Beispiel:
("!@#$%^&*0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ_abcdefghijklmnopqrstuvwxyz".tochararray() | sort {Get-Random})[0..12] -join ''

irgendwo als ps1 abgespeichert und ne Verknüpfung gebastelt, fertig und komplett offline.

Kommt Linux zum EInsatz, wäre das hier auch in der Bash mit einem Einzeiler erledigt, Beispiel:
date +%s | sha256sum | base64 | head -c 12 ; echo (gibt bessere Methoden, siehe unten )

Wüsste nicht, wieso man dafür irgendwelche Onlinetools benutzen müsste.

 

[Hancock]

Kommt Linux zum EInsatz, wäre das hier auch in der Bash mit einem Einzeiler erledigt, Beispiel:
date +%s | sha256sum | base64 | head -c 12 ; echo

Das ist kein sicherer Passwortgenerator!

 

[Der Lord]

Definiere 'sicher'. Für das GMX-Konto wohl sicher genug, solange keiner weiß wann das PW erstellt und wie es danach maskiert wurde.
Ansonsten nimmt man eben /dev/urandom als Quelle. Ich sagte ja, es war nur ein simples Beispiel und meine Primäraussage zielte darauf ab, dass man keine Webseite dafür nutzen muss.

 

[Hancock]

Nur die Sekunden als Entropie, nicht sicher genug, und Security by Obfuscation war nie gut. Für das GMX Konto kann das nie sicher genug sein (wenn ich mir überlege, was alles mit dem Konto verknüpft ist).

Passwortgeneratoren macht man am Besten nicht selber und nicht von einer Webseite -> pwgen und Konsorten.

 

[Conqi]

Man nutzt ja eh einen Passwortmanager und die haben allesamt eine Funktion zum Generieren von Passwörtern integriert. Ansonsten ist der Punkt vermutlich wichtiger als die Frage, welchen Passwortgenerator man nun zum Erstellen nutzt und dass man auch ja den Flugzeugmodus an hat und solche Geschichten.

 

[Der Lord]

Immer noch 'sicherer' als die 0815 Standardpasswörter, die der Ottonormalnutzer gerne vergibt, aber das führt jetzt zu einer unnötigen Diskussion.
Klar geht es immer besser, da gebe ich dir prinzipiell Recht, aber man darf die Kirche auch mal im Dorf lassen.

Mit pwgen kommt er ganz bestimmt weiter... Da empfehle ich lieber Keepass & Co als Passworttresor, hat auch einen PW-Generator eingebaut.

 

[elefant]

Einfach irgendwas im bereich 12-18 Stellen generieren und alles wichtige mit 2FA sichern.

 

[skytec]

was haltet ihr von diesem Skript als Alternative:
https://germanpowershell.com/passwort-generator-mit-powershell/


# Erstellen des Arrays mit den gewünschten Zeichen für das Passwort
$meinpw = @()
$meinpw += [char[]]([char]65..[char]90) # Grossbuchstaben
$meinpw += [char[]]([char]97..[char]122) # Kleinbuchstaben
$meinpw += 0..9 # Zahlen
$meinpw += [char[]]([char]33..[char]38) # Sonderzeichen 1
$meinpw += [char[]]([char]40..[char]47) # Sonderzeichen 2

# Abfrage in der Konsole wieviele Zeichen das Passwort haben soll
[int]$anzahl = Read-Host -Prompt "Wieviele Zeichen möchtest du haben?"

# Runden der Abfrage auf 0 Dezimalstellen
$anzahl = [math]::Round($anzahl,0)

# Generieren des Passwortes mit Get-Random
$pwausgabe = (Get-Random -InputObject $meinpw -Count $anzahl) -join ""

# Ausgabe des Passwortes und der Länge
Write-Host $pwausgabe " >> Hat " $pwausgabe.Length " Zeichen"

# Kopieren des Passwortes in die Zwischenablage
$pwausgabe | clip

 

[Yuuri]

Immer noch 'sicherer' als die 0815 Standardpasswörter, die der Ottonormalnutzer gerne vergibt, aber das führt jetzt zu einer unnötigen Diskussion.

Deine Methode ist einfach nur eins: überflüssig. Statt aus dem aktuellen Datum mit irgendwelchem Hexenwerk hintendran irgendwas zu veranstalten, kannst du gleich das Datum eingeben. Dir fehlt hierbei jegliche Entropie. Einfach nur die aktuelle Uhrzeit zu nehmen ist sinnfrei. Genauso könntest du das aktuelle Jahr nehmen und nen 4000-Zeichen langen String draus generieren und sagen "sicher, weil lang". Ist trotzdem unsicher, weil du als Basis nur das aktuelle Jahr nimmst.

❯ echo '2021' | sha512sum | base64 -w 0
MzQ5NmQ4OTI2NTVhNDE4OTQ3YWU0MTYwZmJiMzg0ZWZhMzAzYzg1YjM0NzNhZjNiZWU3ZGNhYTM0M2I0OTQ1NGViZDhmMWRkNTkwMWUxNjkxZjE3ZGJjMTU2YTYwMjc2MTc2ZmEwMzZjNmEwNjk2Y2YyZTRmM2UzY2EyMGU1ZWUgIC0K

Ist das Passwort nun sicher, weil es ganz ganz ganz viele Stellen hat? Nein, weil die Entropie fürn Arsch ist.

Statt unsichere und unzureichende Lösungen vorzuschlagen und zu beschwichtigen, sowie die eigene, überflüssige Lösung noch zu verteidigen... Warum schlägst du ihm nicht gleich pwgen, Keypass oder sonstige Tools vor, statt deiner kaputten Lösung, "die sicher genug" ist? Warum leitest du ihn nicht gleich an $Suchmaschine mit dem Begriff "passwort generator" weiter, statt deine stümperhafte Lösung zu präsentieren? Wollen wir noch ne Vollbitverschlüsselung drumrum zaubern? Oder bist du gar der Kryptochef höchst persönlich?

Und wo ist dein Einzeiler auch noch einfacher als

$ sudo apt install pwgen # einmalig!
$ pwgen -s 32

?

Er ist sich bereits nicht sicher, dass ein mittels JS generierter String "sicher" ist und du schlägst ihm so nen Quatsch vor... Einfach mal weniger rumpfuschen!

edit: Auch dein Einzeiler in PS ist sinnfrei, da jedes Zeichen nur einmalig vorkommt - da du nur nach Zufall sortierst.

 

[Jesterfox]

Ich sagte ja, es war nur ein simples Beispiel

Und Kaspersky war der Meinung sowas ähnliches in ihr Tool einzubauen... einfach mal die Diskussionen dazu etwas durchlesen ;-)

 

[Yuuri]

@skytec Hier hast du nen halbwegs sinnvollen Einzeiler in PS:

> (0..32 | % { ('a'..'z' + 'A'..'Z' + '0'..'9' + ',;.:-_#+*!äöüÄÖÜß'.ToCharArray()) | Get-Random -Count 1 }) -join ""
LOC8GoqO:YCrKLaGO3Hzdd7kQ:Yßc,sNÄ
7YXmY8O:zeTßeW!ak74RYZ-nv19ZS*PO0
8JjlÜev26ßgX_q8.Yö1fwqgßQ!qBjy:E,
TeDO5J9jUvBtfLaQTqwzZwU_ZdFCfä#*j
üwämAb0C5CkMfl;8I*puAOkuÜää#1hSQA

Get-Random ist auch ausreichend.

Wenn du was Anständiges willst, nutz nen Passwortmanager (nicht Kaspersky, siehe Heise) oder bspw. pwgen unter Linux.

 

[PHuV]

Im KeePass ist ein PW-Generator, den man prima konfigurieren kann. Ansonsten pwgen unter Linux und Cygwin-Tools.

 

[HITCHER_I]

Wenn schon unter linux bist, kannst ja /dev/random anzapfen, am besten gleich 4k Bytes auslesen für sha1 vom Passwort. Und base85 ist besser, da mehr druckbare Zeichen enthalten sind, als base64.


dd if=/dev/random count=8 2>/dev/null | sha512sum -b -z | ./base85 e
<~0OZ_F3&kG-3A`X+2)$js@59`L@50Pm2J-AU11E3s0JkRB3Ft$'ARdH)@qIPO@:h2PA2cA*A
n!YQ1cR7#3Fb$W2).$KA2H#"2`*6I2)R'IAn>I11cR=&2DnuR2J+p+A7IMS@q.5MAMc)O@%R
N1cAiRAhZ5(11;jj+=\rC~>

<~@UV5UA2ZD(1,C^s@PB]N2.9rL0k=cN@q&t,@Q$5+3+=a!@Q._*11E1N0fM'O1Ljm&@kfu"2
E#/%2DA]$AMR\(@50Vt2dnCM@PVCQ0et^t3B1M[1h&=O3At>W0kOlO3AW?CAn<q\0K3E!2eFg
'A7d]2Ai2S'AM>hu+=\rC~>

Wobei base85 in dem Fall ein awk script ist, und das Passwort zwischen den Klammern steht "<~" "~>".
https://sites.google.com/site/danny...lities/base64-and-base85-encoding-awk-scripts

edit:
Mir ist aufgefallen, das ist so auch nicht optimal, weil sha512sum einen Hexadezimalwert ausgibt, aber in ASCII Text, und nicht binär, wie man es für base64 oder ascii85 oder base85 optimal bräuchte, und somit wird das Passwort effektiv nur etwa halb so stark für genutzte Länge, als wenn man base64 von dem Binärwert der sha Summe macht.
siehe dazu: https://en.wikipedia.org/wiki/SHA-1#Example_hashes
Das Beispiel kann man in linux bash so erzeugen:
echo -n "The quick brown fox jumps over the lazy dog" | sha1sum | cut -f 1 -d " " | xxd -r -p | base64

Habe ein kleines python3 Programm, das von Standardeingabe binär liest (zB. von /dev/random), und davon binär in die Standardausgabe den SHA1 Wert ausgibt, das wäre optimal für Weitergabe an base64 oder base85 wie oben.

#!/usr/bin/python3

from hashlib import sha1
import binascii, os
h = sha1()

if __name__ == "__main__":
    import sys

    line=sys.stdin.buffer.read()

#    h.update(bytes(binascii.hexlify(line)))
    h.update(bytes(line))
   
    with os.fdopen(sys.stdout.fileno(), "wb", closefd=False) as stdout:
        stdout.write(binascii.unhexlify(h.hexdigest()))
        stdout.flush()

Die Ausgabe vom oberen Beispiel und für sha512 würde dann so ausschauen (also kürzer!):

<~\qnpj,<`8J>-]0ebLX+hMbpma.s`"f4M&@mB(99liiJhSH47*i&rW.&93[^q+1.43reC`VI
jX&[oo\/L~>

 

[Der Lord]

Oder bist du gar der Kryptochef höchst persönlich?

aber sonst geht's dir gut, keinen Kaffee heute morgen gehabt oder schmeckte dir das Mittagessen nicht?

Ich gebe dir absolut Recht, was deine Aussage zur Passwortgenerierung betrifft. Sehe auch gerade, dass ich es selbst anders umgesetzt hatte und beim erneuten raussuchen im Web ein schlechtes Beispiel wählte, trotzdem kann man bei Richtigstellung sachlich bleiben ohne gleich zu übertreiben.

Auch ist es totaler Quatsch, wenn du einen aktuellen Timestamp (mein Beispiel) mit einer simplen Jahreszahl als Grundlage gleichsetzt! Aber ich möchte da auch nicht weiter drauf rumreiten, du und weitere Beteiligte haben hier saubere Lösungen präsentiert, die man wirklich bedenkenlos weiterempfehlen kann. Ziel erreicht.

Nächstes mal nicht von deinen Emotionen leiten lassen, dann gibt's auch einen Keks. Danke.