Hallo,
On Saturday 28 March 2009 16:22:24 Konrad Rosenbaum wrote:
Pack einfach mal eine 0-byte-Datei und schau wie groß das Ergebnis ist.
Peinlich... Also die 20B (gzip) bzw. 18B (lzma) sind vernachlässigbar gegen 1,1MB, verfälschen also die Messungen nicht sehr.
Das Ergebnis: (pwgen -s -y ) liefert etwa 6,6 Bit Information pro Byte bzw. pro Zeichen. Dabei enthält der Zeichensatz Groß-, Kleinbuchstaben, Ziffern und einige Sonderzeichen. Das Passwort wir zufällig generiert, also kann man es sich kaum merken.
Das halte ich für sehr hoch geschätzt. -sy klingt in etwa nach dem selben Zeichensatz, wie base64. Selbst wenn es ein paar mehr sind, ist das Maximum ca. 6,1 bit.
Neben Buchstaben und Ziffern verwendet pwgen 31 Sonderzeichen (nach meiner Zählung), macht 93 Zeichen also 6,54 Bit, die bei Verwendung eines hinreichend guten Zufallsgenerators auch erhalten bleiben. Um den Wert zu messen bräuchte man natürlich einen idealen Kopressionsalgorithmus.
(pwgen -y ) liefert nur etwa 4,6 Bit, dafür kann man sich das PW aber merken.
Auch das klingt hoch - ich würde 3-3,5 bit ansetzen.
Wahrscheinlich ist hier der Messfehler auch größer, durch die von pwgen absichtlich eingebauten Redundanzen ist die Abhängigkeit des Ergebnisses vom Algorithmus größer.
Je eher Systeme per default mehrere Authentifikationsquellen kombinieren, umso besser.
Ganz nebenbei wir haben die Wahl: *"etwas, das Du weißt" (Passworte, Erinnerungsfragen, ...) *"etwas, was Du bist" (Biometrie) *"etwas, das Du besitzt" (verschiedenste Token)
Es gibt Registrierkassen bei denen Authentifikation über einen Schlüssel läuft. Gibt es sowas auch für Rechner, als USB Gerät?
Unter den radikaleren Cryptographen auch bekannt als: etwas, das Du vergessen hast, das Du mal warst oder das Du verloren hast.
Das mit dem Vergessen hat aber den Vorteil, dass sich damit das Passwort vor Behörden schützen lässt. Ausgenommen vllt Geheimdienste...
Jeffrey