Gast
2008-01-31, 13:23:54
Interessante empirische Beobachtung.
Vor einer langen Zeit habe ich im deutschsprachigen Teil des KeePass Forums ganz brav paar kritische Fragen gestellt. Das Forum war anschliessend sehr lange offline.
Nach dem Release von 1.10 habe ich mich mal wieder schlau machen wollen. Diesmal was die Entropie angeht.
Zum Beispiel fiel es mir auf, daß generierte Passwörter sehr oft mit einer Sequenz von 4 bis 5 Großbuschstaben enden und einige Zeichen auffällig selten vorkommen, wogegen zb. eben Großbuschstaben sehr sehr oft anzutreffen sind.
Oder, daß die Option "zusätzliche Entropie sammeln" meistens schwächere Passwörter liefert, KeePass eigener Einschätzung nach, als eine normale Generierung. Was bringt also eine "zusätzliche" Entropie?
Die Antwort lautete, daß ich zu wenige Passwörter erzeuge, um die Entropie wirklich beurteilen zu können. Das müßte schon in 30.000 und mehr gehen. Auch einige Referenzen und Beschreibung der Methoden folgten, die KeePass bestmögliche Noten bescheinigten.
Alles gut. Mag stimmen. Leider erzeuge ich eben nur wenige Passwörter im Monat. Das konterte ich mit dem Spruch, daß ein F1 Motor zwar 60 Runden lang höhste Geschwindigkeiten und Beschleunigungen meist sehr zuverlässig erreicht, auf einer kurzen Fahrt nach Stvo ;) zum Bäcker durch eine 30 Zone würde es auf dem Rückweg wahrscheinlich auseinanderfliegen.
Wie definiert man also "gut"?
Wie schon beim letzten Mal ging das Forum kurz danach offline. Diesmal wundere ich mich langsam darüber.
http://keepass.datensysteme-lenk.de/index.php
"Das wird mir jetzt aber zu blöd. Ich schalte für paar Monate ab"? Hmmm.
Vor einer langen Zeit habe ich im deutschsprachigen Teil des KeePass Forums ganz brav paar kritische Fragen gestellt. Das Forum war anschliessend sehr lange offline.
Nach dem Release von 1.10 habe ich mich mal wieder schlau machen wollen. Diesmal was die Entropie angeht.
Zum Beispiel fiel es mir auf, daß generierte Passwörter sehr oft mit einer Sequenz von 4 bis 5 Großbuschstaben enden und einige Zeichen auffällig selten vorkommen, wogegen zb. eben Großbuschstaben sehr sehr oft anzutreffen sind.
Oder, daß die Option "zusätzliche Entropie sammeln" meistens schwächere Passwörter liefert, KeePass eigener Einschätzung nach, als eine normale Generierung. Was bringt also eine "zusätzliche" Entropie?
Die Antwort lautete, daß ich zu wenige Passwörter erzeuge, um die Entropie wirklich beurteilen zu können. Das müßte schon in 30.000 und mehr gehen. Auch einige Referenzen und Beschreibung der Methoden folgten, die KeePass bestmögliche Noten bescheinigten.
Alles gut. Mag stimmen. Leider erzeuge ich eben nur wenige Passwörter im Monat. Das konterte ich mit dem Spruch, daß ein F1 Motor zwar 60 Runden lang höhste Geschwindigkeiten und Beschleunigungen meist sehr zuverlässig erreicht, auf einer kurzen Fahrt nach Stvo ;) zum Bäcker durch eine 30 Zone würde es auf dem Rückweg wahrscheinlich auseinanderfliegen.
Wie definiert man also "gut"?
Wie schon beim letzten Mal ging das Forum kurz danach offline. Diesmal wundere ich mich langsam darüber.
http://keepass.datensysteme-lenk.de/index.php
"Das wird mir jetzt aber zu blöd. Ich schalte für paar Monate ab"? Hmmm.