Planet-Quellcodes.de Wettbewerb, Passwortsicherheit

Guten Abend,

und herzlich willkommen zum 15. Programmierer Wettbewerb von Planet-Quellcodes.de. Wie bereits angekündigt, möchten wir uns in dieser Runde abseits der Implementierung einer anderen Kernkompetenz der Arbeit eines Entwicklers widmen. In der aktuellen Aufgabe steht deshalb nicht die reine Umsetzung im Vordergrund, sondern es soll ein Algorithmus entworfen und allgemein verständlich beschrieben werden. Wir wünschen allen Teilnehmern viel Spaß und Erfolg! Ideen und Vorschläge für folgende Wettbewerbe sind im Feedback Beitrag wie immer ausdrücklich erwünscht.

Sowohl im Internet, als auch in lokal betriebenen Anwendungen, die von mehreren Nutzern verwendet werden, ist es inzwischen üblich, den Zugang durch einen Benutzernamen und ein Passwort zu schützen. Sei es nun aus Bequemlichkeit oder reiner Unwissenheit, wählen Anwender jedoch viel zu oft ein triviales oder anderweitig unsicheres Passwort. Aus diesem Grund soll nun ein Algorithmus entworfen werden, der anhand von formalen Merkmalen die Sicherheit von Passworten bewertet. Die Aufgabe ist in drei Teile gegliedert, die alle bearbeitet und eingesendet werden müssen.


Aufgabenstellung:

1. Teil: Entwirf einen Algorithmus, der die Sicherheits eines Passwortes bewertet. Führe eine Anforderungsanalyse durch (Was soll der Algorithmus tun?) und formuliere, was in deinem konkreten Fall ein sicheres Passwort ausmacht. Erkläre ferner anschaulich die Arbeits- und Funktionsweise deiner Routine. Liegt der Bewertung ein mathematisches Verfahren zu Grunde? Welches? Erläutere es. Wie bewertest du das Passwort (Punktesystem, prozentual, binäres Flag, ...)? Warum hast du dich für dieses System entschieden? Gib drei Beispiele für die Funktionsweise deines Systems an.

Der Entwurf stellt eine formale Beschreibung der Routine dar und sollte so verständlich formuliert werden, dass auch ein Dritter den Algorithmus auf Basis der Beschreibung implementieren könnte. Die Beschreibung erfolgt prosaisch, zur Erläuterung einzelner Teilaspekte sind Diagramme, Zeichnungen, Bilder, Formeln, Pseudocode und Beispiele zulässig und erwünscht. (Empfohlene Textlänge: 2-3 DIN A4 Seiten)

2. Teil: Implementiere deinen Algorithmus in einer einfachen Anwendung.

3. Teil: Wie kann das Programm dem Nutzer sinnvolle Hinweise zur konkreten Verbesserung des Passwortes geben? (Achtung: Es sollen keine allgemeinen Tipps gegeben werden, sondern die Hinweise sollen sich auf das Passwort beziehen, das der Nutzer eingegeben hat!) Beschreibe deine Ideen unter Berücksichtigung der technischen Umsetzung (d.h. wie ließe sich dieses System praktisch umsetzen). Welche Probleme könnten möglicherweise auftreten? Wo hat dein Algorithmus Schwächen? (Empfohlene Textlänge: 1 DIN A4 Seite)


Deadline: Die Bearbeitungszeit beträgt etwa drei Wochen und endet am 10. März 2007 um 20 Uhr abends. Die Einsendung erfolgt per E-Mail an NetPanther@gmx.net.


Regeln:
- der Entwurf des Algorithmus steht im Vordergrund, nicht die Implementierung!
- der Entwurf sollte allgemein verständlich und anschaulich formuliert sein
- die Beschreibung erfolgt in Textform, d.h. in zusammenhängenden Sätzen, deutscher Sprache und unter Berücksichtigung von Groß- und Kleinschreibung, sowie Interpunktion
- Dokumente können in den Formaten PDF, HTML oder DOC eingesendet werden
- die Implementierung in einer Konsolenanwendung ist ausreichend, minimale Kommentierung wird als selbstverständlich erachtet
- zur Lösung von Problemen darf das Forum kontaktiert werden, solange der Großteil des Entwurfes letztendlich vom Autor stammt
- teilnehmen dürfen nur einzelne Entwickler (keine Teams), die Mitglied der Community sind
- die Wahl eines Siegers erfolgt durch eine von Planet-Quellcodes.de gestellte Jury


Einsendung: Es gelten die unter "Deadline" genannten Konditionen. Die Einsendung erfolgt als Zip Archiv an NetPanther@gmx.net. Dieses sollte enthalten: Den Entwurf + die Verbesserungsvorschläge aus dem dritten Aufgabenteil als PDF-, HTML- oder DOC-Dokument, eine Binärdatei und den kommentierten Quellcode der Implementierung, einen Screenshot (max. 800 x 600 Pixel, *.jpg) und eine ReadMe.txt. In dieser wiederum sollten folgende Informationen zu finden sein: Name des Programms, verwendete Programmiersprache + Bibliotheken, kompatible Betriebssysteme, Name des Autors + Wohnort (nur die Stadt; für die Siegerurkunde), Foren-Nickname des Autors, E-Mail Adresse und eine kleine Beschreibung (Funktionsweise, Handhabung usw.) der Anwendung in ~300 Zeichen.


Noch Fragen? Dann stellt sie hier im Beitrag. Andernfalls wünschen wir allen Teilnehmern viel Spaß bei der Bearbeitung!

MfG

Du solltest die Textlänge vielleicht in Wörter angeben und nicht in Seiten.

Guten Abend,

die empfohlene Textlänge stellt nur einen ganz groben Richtwert dar. Wer die Fähigkeit besitzt, seinen Algorithmus auf einer 3/4 Seite ausreichend zu beschreiben, darf dies gerne tun. Ebenso akzeptieren wir auch vier- bis fünfseitige Entwürfe, wenn sie entsprechend komplex sind oder umfangreicherer Erläuterungen bedürfen.

Wenn nicht näher angegeben, kannst du bei Schriftdokumenten immer davon ausgehen, dass Normzeilen zu 50 bis 55 Anschläge bei Normseiten mit 30 Zeilen gemeint sind. Aber wie gesagt, wir werden weder Buchstaben noch Worte nachzählen. :)

MfG

Müssen es getrennte Dokumente sein oder reicht eines mit beiden Inhalten? Letzteres wäre mir deutlich lieber.

Für welche Plattform?

Auch bei einer Konsolenanwendung?

Guten Abend,

ob du zwei getrennte Dokumente einsendest oder die Inhalte getrennt in einer Datei abgibst, bleibt dir überlassen. Zweckmäßiger ist sicherlich Letzteres.

Die Binärdatei soll später denjenigen zum Testen dienen, die den Code nicht selbst übersetzen können oder wollen (mangels Wissen, Compiler, Lust oder Zeit). Dementsprechend bleibt dir auch hier die Wahl überlassen. Mit Windows, *nix und MacOS X dürftest du nicht verkehrt liegen, je nach deinen Möglichkeiten. Für den Screenshot gilt Selbiges. In erster Linie dient er als Beweis der Lauffähigkeit des Programmes und als kleine Demonstration, falls die Applikationen auf der eigenen Plattform nicht ohne größeren Aufwand gestartet werden kann (z.B. bei Skriptsprachen oder nötigen Laufzeitumgebungen).

MfG

PS.: Wir haben noch niemandem wegen einer fehlenden Binärdatei oder fehlendem Screenshot den Kopf abgerissen. In erster Linie zählt für uns der Quellcode (und hier eben der ausformulierte Entwurf). - Zumal es nicht dein erster Wettbewerb mit diesem Reglement ist.

Richtig, dennoch war bei den anderen Wettbewerben der Screenshot immer wirklich sinnvoll (weil GUI vorhanden) oder nicht so explizit gefordert (zumindest kam mir das so vor). ;)

Aber danke, für die schnelle und klare Antwort ;)

*Bump*
Hat etwa keiner mitgemacht? Oder wieso gibt es noch immer keine Nachricht?

Ich hätte zwar nen Ansatz, aber keine rechte Lust den einzusenden. Mir ist das Regeldiskutieren zu viel geworden.

Abgesehen davon hab ich auch keine Zeit meinen Ansatz (fertig) umzusetzen.

Guten Abend,

immer langsam mit den jungen Pferden, wir wollten uns die Einsendung doch zumindest mal in aller Ruhe anschauen, bevor wir dich zum Sieger erklären. Leider war die Konkurrenz ja nicht allzu groß.

ratepwd
Autor: Der Meister
Download: Link

MfG

Diese Art von Wettbewerb war irgendwie nicht mein Ding - zumal ich aufgrund der bevorstehenden Teilabschlussprüfung derzeit weniger mache

Guten Abend,

immer langsam mit den jungen Pferden, wir wollten uns die Einsendung doch zumindest mal in aller Ruhe anschauen, bevor wir dich zum Sieger erklären. Leider war die Konkurrenz ja nicht allzu groß.

Danke, aber mir ging es nicht einmal um die Siegerwahl (konnte ja nicht wissen, dass ich der einzige Teilnehmer war), sondern nur um irgendeine Nachricht (Benachrichtigung wegen Erreichen der Deadline, Anzahl der Einsendungen oder ähnliches, wie bei den letzten Wettbewerben auch).

Irgendwie schade, dass keiner weiter teilgenommen hat. So zu gewinnen macht einfach keinen Spass. Naja, mal hoffen, dass es beim nächsten Mal wieder etwas mehr Begeisterung geben wird. ;)

ich hatte diesmal auch keine zeit zumal mein rechner erst seit ein paar tagen wieder funktionsfähig ist. ein zweiter grund ist die ausführliche passwort-kontrolle auf diversen datenschutz-internetseiten. hätte man nur "abschreiben" müssen. besser als bei denen geht das glaub ich nicht.

was ich bei "der meister" nicht gefunden habe ist die überprüfung, ob irgendwelche tastaturfolgen eingegeben wurden ... z.B. "wert" oder "asdf".

dann bis zur nächsten runde.
tschö

Richtig, auf Folgen wie "wert" "abcd" "1234" usw. habe ich letztendlich verzichtet. Daran gedacht hatte ich zwar, aber gerade die "Tastaturfolgen" zu erkennen dürfte etwas ungemütlich werden, da diese zu allem Überfluss auch noch vom Layout abhängen. Zahlenfolgen zu testen wäre vergleichsweise einfach gewesen und ich hätte es sicherlich noch als KO-Kriterium aufnehmen können, habe letztendlich aber drauf verzichtet. Warum? Keine Ahnung, vermutlich nicht mehr dran gedacht.

Hallo zusammen,

solche Folgen kann man ja dann immer noch in das Wörterbuch integrieren, das es beim Meister als Dummy schon gibt. Dann müsste nur noch die "Fehlermeldung" angepasst werden.

Viele Grüße,
Julian