Skip to content
< Vorheriger Eintrag | Nächster Eintrag >

Donnerstag, 21. Oktober 2010, 04:51

Password-Karte (4)

Auf mehrfachen Wunsch hin habe ich

• ein Gitter implementiert
• das Ziel des nachfolgenden Formulars für die Leser, die per RSS kommen, in ein neues Fenster ausgelagert
• die Farben erweitert (diese werden zufällig erzeugt)
• die Zeilen-Nummern in ein Nicht-Informatiker-Format (1 bis 8 statt 0 bis 7) gebracht
• die Anzahl der erzeugbaren Karten auf ein Maximum reduziert

So sieht es nun aus:


Hier nun das neue Aufruf-Formular:

Passwörter bestehend aus
Kopfzeile bestehend aus
Gitter?
Anzahl Karten

Zur mehrfach gewünschten PIN-Erzeugung. Wäre Euch eine Erzeugung von Ziffern in den letzten n Zeilen oder den letzten n Spalten lieber? Wenn ja: Wie groß soll n sein ;-) ?

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Simon

Wie wäre es mit n als Parameter zum selbst angeben?

FN

Was für 'ne Uhrzeit für sowas :D

Gerhard

Ich hätte gerne noch zwei Zeilen mehr. So dass jede Ziffer (als Zeile) vertreten ist.

Was die Ziffern angeht: (n = 0; n < 8; n++), ich würde die Spalten nehmen. =)

foolala

Bevor die Password-Karte keinen Kaffee machen kann wirst du nie fertig sein!

crissi

> auf ein Maximum reduziert
bestimmt auch ein Nicht-Informatiker-Feature ;=)

Marcel Keil

Gitter? "Neon"

Vertippt :)

Manuel Schmitt (manitu)

Das war ein Mix aus "none" und "nein" :-)

Thomas

Super Sache! Verbesserungsvorschlag: Eine Farbe kommt z.T. mehrfach auf einer Karte vor. So kann man sich natürlich nicht "R, blau" merken.

Gruß Thomas

Jan

1. super Sache! Man muss bedenken das Manuel das nebenbei in seiner "Freizeit" macht.

2. zur Pin: mach doch aus n eine Variable (max. die ganze Karte).

Rafael

Moin!

Wie wäre es, wenn man zusätzlich noch einen Freitext eingeben könnte, der jeweils auf der Rückseite der Karte landen würde (also Seite 2 im PDF, passend zu den Karten auf Seite 1 ausgerichtet).

Dann könnte man sich das händische Eintragen vermerken, welches verstecke Passwort für was steht, ersparen und es wäre besser leserlich. ;)

Christian

Ich finde es so jetzt gut. Muss ich mir nur noch einen Farblaserdrucker, Laminiergeraet und bedruckbare Visitenkarten kaufen... :)

sarc

Hm... Aber wie sicher sind die Dinger? Klar, sicherer als das PW auf nen Zettel zu schreiben, aber das Ding jemand findet, ist ein angepasster Brute-Force-Angriff auch ziemlich erfolgversprechend. Die Stärke liegt im verwendeten Ausleseverfahren. Da das Ding ne Vereinfachung sein soll, kann das "Hüpfen" auch nicht so kompliziert werden. Bei ner maximalen Passwortlänge von 15 muss ich pro "Hüpfweg" knapp 3500 Passwörter ausprobieren. Ich behaupte einfach mal, dass da fast alle Methoden weniger als 1000 Versuche ausmachen werden. Vermutlich kriegt man die gebräuchlichsten mit ner niedrigen zweistelligen Zahl abgedeckt. Daraus schließe ich: Wenn mir die Karte abhanden kommt (oder ich auch nur befürchten muss, dass sie kopiert wurde) hab ich ein Problem.

Da find ich die Idee über nen Satz, von dem man die Anfangsbuchstaben nimmt, deutlich geschickter.

Christian

Du hast alleine in einer Spalte ohne Verschiebungen in zusammenhaengenden Bloecken (8*1!) + (7*2!) + (6*3!) + (5*4!) + (4*5!) + (3*6!) + (2*7!) + (1*8!) = 53218 Moeglichkeiten.

Bei 29 Spalten sind das 1543322 Moeglichkeiten.

Wenn du das ganze jetzt noch fuer die Zeilen durchgehst und dann noch Verschiebungen zwischen den Zeilen / Spalten (huepfen) und nicht zusammenhaengende Bloecke nimmst sollte da eigentlich eine nette Anzahl an moeglichen Kombinationen rauskommen...

Mit 3500 Versuchen wirst du da nicht wirklich weit kommen...

MOW

Das gilt aber nicht, wenn man sich auf der Rückseite oder sonstwo in der Nähe die Startpositionen und Verwendungszwecke notiert, wenn ich #9 richtig verstanden habe ...

Und bei PINs könnte die Auswahl stark eingeschränkt sein (siehe auch #13).

Was ich aber für sinnvoll halten würde: Mit den Kartendaten ein OTP-System füttern und das dann zB "F7, Methode 3" abfragen lassen (die Sprungmethoden muß man dem System dann natürlich auch mitteilen können und diese tunlichst geheimhalten). Gegenüber Klartext-Listen von OTPs wäre das immer noch ein Vorteil ... besser als iTAN auf jeden Fall.

MOW

Oh, und das kann man auf zwei Arten machen: Entweder man erzeugt vorab Listen aus Challenge (Position und Nummer der Methode) und Hash der Response, auf die das Login-Programm dann zugreift (nützlich auf Systemen mit mehr als einem User, weil ein Abgreifen der Dateien erstmal nicht so viel nützt), oder man hinterlegt die erzeugte Tabelle und die Methoden direkt und kann dann solange Paßwörter on-the-fly generieren bis man mal ne neue macht oder eine bestimmte Anzahl von Fehleingaben erfolgt ist (wenn man die Karte für nix anderes verwendet und das System für sicher genug hält, daß keiner die Daten lesen kann, der nicht eh so tief drin ist, daß er auch ein rootkit einbauen könnte).
Ersteres sollte mit existierender Software schon möglich sein, wenn auch mühsam von Hand abgetippt.

Avarion

Könnte mir bitte jemand erklären wie die Karte funktioniert?

So ohne Anleitung verwirrt mich die nur :)

Stephan

Für den Pinblock würde ich mir 5U bis 8Ü wünschen... ;)

Christian Beck

hi Hostblogger,

Das Tool ist echt klasse...
Hättest du interesse daran, das als Open-Source gemeinfrei anzubieten? Evtl bei Sourceforge oder Google-Code? Wäre sehr interessant, und dann könnten auch andere noch dinge mit einbringen.

Denk mal darüber nach.


Viele Grüße

C.Beck

Gerhard

http://www.hostblogger.de/blog/archives/4944-Password-Karte.html#c33682

Gerhard

Davon abgesehen sollte es nicht allzu schwer sein, das Tool nachzuprogrammieren und selbst unter der GPL zur Verfügung zu stellen... =)

Manuel Schmitt (manitu)

Schwer nicht, nur doch aufgrund der Layout-Sache etwas komplizierter, als man im ersten Moment denkt.

Für jeden Hobby-Programmierer sicherlich aber eine nette kleine Herausforderung zum Start ins Wochenende (wenn man jetzt nicht jeden Tag mit FDPF und derartigen Sachen zu tun hat).

Gerhard

Jau, es kostet nur deutlich mehr Zeit und Hirnschmalz, als sich bequem zurückzulehnen und zu warten, bis du es machst. =)

Aber was die Liberalen damit zu tun haben, will sich mir nicht so recht erschließen... =P

Isa

Vielen lieben Dank :)

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen