PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : KeePass mit Schwächen?


Gast
2008-01-31, 13:23:54
Interessante empirische Beobachtung.

Vor einer langen Zeit habe ich im deutschsprachigen Teil des KeePass Forums ganz brav paar kritische Fragen gestellt. Das Forum war anschliessend sehr lange offline.

Nach dem Release von 1.10 habe ich mich mal wieder schlau machen wollen. Diesmal was die Entropie angeht.

Zum Beispiel fiel es mir auf, daß generierte Passwörter sehr oft mit einer Sequenz von 4 bis 5 Großbuschstaben enden und einige Zeichen auffällig selten vorkommen, wogegen zb. eben Großbuschstaben sehr sehr oft anzutreffen sind.

Oder, daß die Option "zusätzliche Entropie sammeln" meistens schwächere Passwörter liefert, KeePass eigener Einschätzung nach, als eine normale Generierung. Was bringt also eine "zusätzliche" Entropie?

Die Antwort lautete, daß ich zu wenige Passwörter erzeuge, um die Entropie wirklich beurteilen zu können. Das müßte schon in 30.000 und mehr gehen. Auch einige Referenzen und Beschreibung der Methoden folgten, die KeePass bestmögliche Noten bescheinigten.

Alles gut. Mag stimmen. Leider erzeuge ich eben nur wenige Passwörter im Monat. Das konterte ich mit dem Spruch, daß ein F1 Motor zwar 60 Runden lang höhste Geschwindigkeiten und Beschleunigungen meist sehr zuverlässig erreicht, auf einer kurzen Fahrt nach Stvo ;) zum Bäcker durch eine 30 Zone würde es auf dem Rückweg wahrscheinlich auseinanderfliegen.
Wie definiert man also "gut"?

Wie schon beim letzten Mal ging das Forum kurz danach offline. Diesmal wundere ich mich langsam darüber.
http://keepass.datensysteme-lenk.de/index.php

"Das wird mir jetzt aber zu blöd. Ich schalte für paar Monate ab"? Hmmm.

Gast hitcher
2008-01-31, 13:38:29
Is it really free?
Yes, KeePass is really free, and more than that: it is open-source (OSI certified).
von: http://keepass.info/

Also ist's schon möglich, dass Fehler drinnen sind, aber die könnten von jedem erkannt und ausgebessert werden. Dass dagegen ein Backdoor enthalten ist, dass alle Passwörter an das BKA übermittelt, ist ausgeschlossen.

rotalever
2008-01-31, 17:29:31
Also ich benutze immer KeepassX

Gast
2008-01-31, 23:19:01
Dass dagegen ein Backdoor enthalten ist, dass alle Passwörter an das BKA übermittelt, ist ausgeschlossen.Davon war auch absolut nicht die Rede.

Gast
2008-02-16, 04:07:00
Man kann sich zb. auch verdammt sicher sein, daß am Ende eines Passwortes NIE eine Zahl generiert wird.

Falls man weniger als 3 Passwörter am Tag generiert. Generiert hier jemand mehr davon?
Ich halte den Pseudozufallsgenerator für nicht so gut. Man sollte es ruhige mal mit http://sourceforge.net/project/showfiles.php?group_id=41019 vergleichen.

Es stimmt übrigens. Das "unoffizielle" deutschsprachige Forum ist immernoch offline.

Gast
2008-02-16, 10:21:12
"Das wird mir jetzt aber zu blöd. Ich schalte für paar Monate ab"? Hmmm.


https://sourceforge.net/forum/forum.php?thread_id=1941105&forum_id=329220