Irgendjemand_1
Erfahrenes Mitglied
Hi.
Ich hab gerade wiedermal einen Zufalls-Link per Mail bekommen, welcher natürlich rein zufällig generiert wurde.
Aber da stellt sich mir auch die Frage: Kann nicht jemand anders zB ein neues Passwort für meinen Account anfordern, sich den Zeitpunkt merken und dann selbst (bevor ich die Mail überhaupt bemerken würde) den Link durch das Reproduzieren der Random-Funktion herleiten und ihn benutzen?
Er hat dann immer noch nicht das Passwort, welches in meiner Mail steht - Aber das wird eben auch zufällig generiert, dürfte also auch kein Problem darstellen.
Dann könnte jemand zumindest kurzzeitig (bis ich über meine Mail wieder ein neues Passwort anfordere) meinen Account benutzen.
Nehmen wir mal eine ganz einfache Funktion zum erstellen einer zufälligen Zeichenkette (Pseudocode):
So, soweit ich weiß, ist die Funktion random() in so ziemlich jeder Programmiersprache vorhanden und ist abhängig von der Zeit, oder?
Zumindest ist sie immer reproduzierbar, sofern man nicht irgendwelche äußeren physikalischen Einflüsse in die Funktion reinbringt, und das ist afaik nicht der Fall, oder?
Um nochmal darauf zurückzukommen, ob man so einen Account klauen könnte: Man weiß ja eigentlich nur, in welcher Sekunde die Anfrage bearbeitet wird, dh in welcher Sekunde ungefähr das Passwort erstellt wurde, aber die random-Funktion wird wahrscheinlich eher mit millisekunden (oder noch kleineren Einheiten?) arbeiten, aber selbst dann hat man ja theoretisch nach spätestens 1000 Versuchen den Account geknackt, oder?
Also meine Frage nochmal kurz und knapp: Kann man, sofern man den Algorythmus zur zufälligen Zeichenketten-Berechnung kennt, ohne allzu großen Aufwand die Zeichenkette reproduzieren? Oder bin ich da total auf dem Holzweg und das alles funktioniert total anders?
mfg
Ich hab gerade wiedermal einen Zufalls-Link per Mail bekommen, welcher natürlich rein zufällig generiert wurde.
Aber da stellt sich mir auch die Frage: Kann nicht jemand anders zB ein neues Passwort für meinen Account anfordern, sich den Zeitpunkt merken und dann selbst (bevor ich die Mail überhaupt bemerken würde) den Link durch das Reproduzieren der Random-Funktion herleiten und ihn benutzen?
Er hat dann immer noch nicht das Passwort, welches in meiner Mail steht - Aber das wird eben auch zufällig generiert, dürfte also auch kein Problem darstellen.
Dann könnte jemand zumindest kurzzeitig (bis ich über meine Mail wieder ein neues Passwort anfordere) meinen Account benutzen.
Nehmen wir mal eine ganz einfache Funktion zum erstellen einer zufälligen Zeichenkette (Pseudocode):
Code:
function Zufallszeichenkette(length) {
string Zeichen= "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789ÄÖÜäöü
while (i <= length) {
random_string = random_string + random(Zeichen)
}
return random_string
}Zumindest ist sie immer reproduzierbar, sofern man nicht irgendwelche äußeren physikalischen Einflüsse in die Funktion reinbringt, und das ist afaik nicht der Fall, oder?
Um nochmal darauf zurückzukommen, ob man so einen Account klauen könnte: Man weiß ja eigentlich nur, in welcher Sekunde die Anfrage bearbeitet wird, dh in welcher Sekunde ungefähr das Passwort erstellt wurde, aber die random-Funktion wird wahrscheinlich eher mit millisekunden (oder noch kleineren Einheiten?) arbeiten, aber selbst dann hat man ja theoretisch nach spätestens 1000 Versuchen den Account geknackt, oder?
Also meine Frage nochmal kurz und knapp: Kann man, sofern man den Algorythmus zur zufälligen Zeichenketten-Berechnung kennt, ohne allzu großen Aufwand die Zeichenkette reproduzieren? Oder bin ich da total auf dem Holzweg und das alles funktioniert total anders?
mfg
