Passwort Generator

[BeBur]

Hallo zusammen,

hat jemand Erfahrung mit dem unten genannten Generator? Im Flugzeug Modus lassen sich auch Passwörter erstellen. Ist dies eine sichere Quelle für Passwörter, wenn man die PW im Flugzeug Modus erstellt ?

https://privacytools.it-sec.rocks/password.html

Nein, das ist eine richtig schlechte Idee. NIEMALS Webseiten dafür verwenden. Niemals. Es gibt auch keinen sinnvollen Grund dafür.

Benutze einfach KeePass.

 

[Ponderosa]

Oder erstelle dir eine Passwortkarte wie @HITCHER_I sagt.
Ein anderes Programm dazu ist Ines-Passwortkarte

 

[BeBur]

was haltet ihr von diesem Skript als Alternative:
https://germanpowershell.com/passwort-generator-mit-powershell/

Gar nichts. Nimm KeePass oder andere bewährte Technologien, einige wurden hier genannt. Was genau ist dein Problem das du lösen willst?

 

[skytec]

Danke für die Antworten.
ich werde in Zukunft im KeepassXC Passwörter generieren lassen. Ein Problem hab ich nicht. Wollte nur klären, ob es bedenklich ist, wenn ich PW über die Website generiere und verwenden würde.

 

[Jesterfox]

Wollte nur klären, ob es bedenklich ist, wenn ich PW über die Website generiere und verwenden würde.

Selbst wenn die Generierung im Browser offline erfolgt könnte im Hintergrund etwas für eine spätere Übermittlung in Cookies oder anderem Storage gespeichert werden.

 

[BeBur]

Selbst wenn die Generierung im Browser offline erfolgt könnte im Hintergrund etwas für eine spätere Übermittlung in Cookies oder anderem Storage gespeichert werden.

Die Seite die uns gerade ausgeliefert wird muss auch nicht unbedingt die selbe sein die du gerade siehst.
Die Seite die gerade ausgeliefert wird muss nicht die selbe sein die morgen ausgeliefert wird.
Es gibt zusätzlich zu dem was Jesterfox schrieb diverse Gründe, da muss man gar nicht man unbedingt einen vergessenen Kommentar/Link auf stackoverflow im Quellcode mit heran ziehen .

 

[PHuV]

Ansonsten nimmt man eben /dev/urandom als Quelle.

Das pwgen unter Linux verwendet genau das als Zufallsgenerator, siehe https://github.com/tytso/pwgen/blob/master/randnum.c.

Ergänzung (8. Juli 2021)

Nein, das ist eine richtig schlechte Idee. NIEMALS Webseiten dafür verwenden. Niemals. Es gibt auch keinen sinnvollen Grund dafür.

Das würde ich jetzt nicht so wehement behaupten wollen, und mir würde auch ein Grund einfallen, ECHTE Zufallszahlen haben zu wollen, mit z.B. https://www.random.org.

Aber das ist jetzt eine rein philosophische Diskussion. 😄

 

[gaym0r]

Nein, das ist eine richtig schlechte Idee. NIEMALS Webseiten dafür verwenden. Niemals. Es gibt auch keinen sinnvollen Grund dafür.

Was ist für dich eine konkrete Schwachstelle bzw. Problem dieser Methode?

 

[HITCHER_I]

Was ist für dich eine konkrete Schwachstelle bzw. Problem dieser Methode?

In dem Fall wäre es ja egal, weil das Programm auch offline im Browser (als Java-Script) läuft.
Man braucht sich nur den Quelltext von der Seite mal anzeigen lassen, kann man auch lokal dann speichern.

 

[BeBur]

Was ist für dich eine konkrete Schwachstelle bzw. Problem dieser Methode?

Es wurden einige schon genannt:

• Webseiten können daten cachen, daher ist temporärer Offline-Modus ggf. nicht sicher
• Webseiten sind erfahrungsgemäß relativ anfällig dafür, erfolgreich angegriffen zu werden, d.h. morgen wird evtl. schon nicht sichtbar eine andere ausgeliefert
• Evtl. liefert die Webseite jetzt schon andere Varianten aus, je nach IP-Adresse / User Agent, Zufall etc.
• Du weißt nie (ohne Sichtung des Quellcodes) ob die Webseite wirklich sichere Verfahren für Zufallsgenerierung verwendet

Ich beziehe mich hier auf den Kontext des Threads, dh. ein normaler User ohne spezielle IT-Expertise. Ein Normaler User sollte niemals Webseiten verwenden ums Passwörter, private keys und ähnliches zu generieren. Es gibt hervorragende Tools wie KeePass, die sollen verwendet werden, nicht Webseites. Diese ganzen Einzelfalldiskussionen (ja aber diese Seite, aber ich hab hier grad nachgeschaut etc.) führt nur dazu, dass weiterhin Menschen auf alle möglichen solcher Seiten gehen und sich Dinge online generieren und das ist schliht eine ganz schlechte Idee.

 

[NotNerdNotDau]

halbwegs sinnvollen Einzeiler in PS

... der so nicht funktioniert und nach der Eingabe eine Fehlermeldung ausgibt.
Wenn man schon Codes vorschlägt, sollten die auch funktionieren und das stellt man sicher, indem man es selbst testet.

 

[KataLiS]

• Webseiten sind erfahrungsgemäß relativ anfällig dafür, erfolgreich angegriffen zu werden, d.h. morgen wird evtl. schon nicht sichtbar eine andere ausgeliefert
• Evtl. liefert die Webseite jetzt schon andere Varianten aus, je nach IP-Adresse / User Agent, Zufall etc.
• Du weißt nie (ohne Sichtung des Quellcodes) ob die Webseite wirklich sichere Verfahren für Zufallsgenerierung verwendet

Das sind Probleme, die ich nicht habe, wenn ich mir vom ersten Treffer bei Google "KeePass" ziehe?
Den Quelltext von der KeePass Version, die bei Dir installiert ist auch sorgfältig gelesen und selbst kompiliert?
KeePass wird nicht über eine anfällige Webseite vertrieben?

Und was machen diese Webseiten dann mit meinem Passwort? Mich nach meiner E-Mail fragen, in der Hoffnung, dass ich mein tolles neues Passwort in der Form, in der sie es mir gegeben haben für meine E-Mail/Paypal oder sonst wo verwende?

Im Vergleich dazu kann der Hersteller von Cloud-Passwortlösungen alle Passwörter inklusive Webseiten- und Username, die man natürlich auch beim selben Hersteller speichert, nach dem nächsten Patch speziell für Dich und 5% der anderen Kunden auslesen - und man hat auch noch für den tollen Service bezahlt.

Ob und wie weit man nun solchen Webseiten vertraut, oder dem ersten Suchergebnis zu "KeePass" muss jeder für sich entscheiden. Die Frage ist: Ist das Angriffsszenario noch plausibel, oder bin ich schon im Sicherheitszirkus?

 

[NotNerdNotDau]

Ich verstehe hier, ehrlich gesagt, die ganze Aufregung nicht.
Selbstverständlich sollte man Passwörter nicht online generieren lassen.
Wenn man es offline macht, braucht man mMn überhaupt kein Tool wie KeePass o.ä.

Ich verwende dafür ein von mir mit PowerShell selbst erstelltes Tool und zwar bereits seit drei Jahren.
Das gebe ich auch weiter an Verwandte, Bekannte und Arbeitskollegen.

 

[PHuV]

Wenn man es offline macht, braucht man mMn überhaupt kein Tool wie KeePass o.ä.

Nicht jeder kann programmieren oder ist hier fit. KeePass ist schon ein prima Tool dafür, und man kann es dann ja auch gleich verwenden, um die generieren PWS mit den Accounts zu verwalten und zu speichern.

 

[HITCHER_I]

Ja, KeePass ist schon super, aber weshalb nicht selbst einen Passwort-Generator programmieren,
ist ja nicht so schwer.
Habe mal eben den python3 code erstellt, ist eigentlich ein 3-Zeiler:

from random import random as random

alphab = ['a','b','c','d','e','f','g','h','i','j','k','l','m','n','o','p','q','r','s','t','u','v','w','x','y','z',
          'A','B','C','D','E','F','G','H','I','J','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z',
          '1','2','3','4','5','6','7','8','9','0',
          '+','-','*','/','!','?','(',')','{','}','€','@','$','%','&','§','<','>',',','.','_',' ']

for i in range(12):    print('{0:<1s}'.format(alphab[int(len(alphab)*random())]),end="")

Man kann einfach noch beliebige Zeichen hinzufügen, oder entfernen.

 

[Der Lord]

aber weshalb nicht selbst einen Passwort-Generator programmieren

Ich bin prinzipiell bei dir, aber kaum einer merkt sich solche generierten Passwörter problemlos - und wenn die dann eh in einem Passworttresor landen, kann man auch gleich den dortigen Generator dafür nutzen. 😉

 

[HITCHER_I]

@Der Lord

Man könnte die so selbst erstellten Passwörter über die Pipe und aespipe in eine verschlüsselte Datei schreiben.
http://loop-aes.sourceforge.net/aespipe.README
https://backreference.org/2014/08/15/file-encryption-on-the-command-line/

..$ (./pwgen.py && echo " username") | ./aespipe -e AES256 -H RMD160   >computerbase.de  
Password:

..$ ./aespipe -d -e AES256 -H RMD160   <computerbase.de
Password:
dSUS. P,ZPxs username

 

[gaym0r]

@BeBur
Du hast nicht konkret gesagt was nun das Problem sei? Ich lasse mir 10 Passwörter generieren und nehme davon eins für meinen Computerbase-Account. Was ist jetzt das spezifische Angriffsszenario? Woher will der Webseitenbetreiber wissen für welche Seite ich das Passwort generiert habe? Woher kennt er meinen Usernamen?

 

[NotNerdNotDau]

Nicht jeder kann programmieren

Ich auch nicht, bekomme solche Dinge aber trotzdem hin. Das ist alles eine Sache des Wollens und im Grunde kein Hexenwerk.

Ich kann da nur für mich sprechen, aber ich bevorzuge es, so wenig Anwendungen von Fremden wie möglich zu nutzen und versuche all das mit PowerShell und/oder CMD umzusetzen, was damit umzusetzen möglich ist.
Ich probiere und tüftle dann so lange, bis es funktioniert.

Ich treffe damit keine Bewertung über die Qualität der Anwendungen wie KeePass o.ä.
Selbstverständlich kann man die nutzen, man sollte sich halt im Netz vorher über die Umstände und Erfahrungen anderer informieren.

 

[Hancock]

Du siehst deine Sicherheitslücke?

Spoiler

7zip Pfad hardgecoded in TMP
Aller Content im TMP bleibt liegen
Passwörter auf die Platte geschrieben
Passwort hardgecoded im Script (-pXXXXX)

Und Races sind auch noch drin (was ist, wenn ich gleichzeitig auf dein Tresor schreibe?

@KataLiS Im besten Fall sind exes wie KeePass Installer signiert. Da hab ich nicht nur Transportverschlüsselung sondern eine Signatur auf den Inhalt. Das heißt, sofern die Entwickler nicht voll Scheiße bauen, reicht es nicht, die Webseite zu hacken, sondern ein Angreifer muss auch die (offline (hoffentlich)) Infrastruktur übernehmen.