Fehler im Passwortgenerator von MySQL

Heute durfte ich etwas erleben, was einem schon zu denken gibt. Bei 1und1 habe ich vor ca. drei Jahren eine Datenbank für mein Fotoalbum angelegt. Der Passwortgenerator hat mir damals ein recht kryptisches Passwort mit acht Stellen angelegt. Darin enthalten Groß- und Kleinbuchstaben, sowie Ziffern. Dieses Passwort habe ich damals nicht geändert. Heute habe ich bei all-inkl eine neue Datenbank angelegt und ratet mal, welches Passwort ich da bekommen habe? Genau dasselbe wie damals bei 1und1! Zufall kann das ja wohl keiner sein, oder? Wo sind die Mathematiker, wieviele Möglichkeiten wären theoretisch möglich? Oder sollte ich vielleicht doch Lotto spielen?

Nachtrag: Wer macht mal ein Script, das immer wieder neue Datenbanken anlegt, das Passwort in eine Datei schreibt und dann die Datenbank wieder löscht? Wenn wir dann 10.000 Paßwörter haben, wird es wahrscheinlich gerade mal 50 Kombinationen geben, oder?

7 Gedanken zu „Fehler im Passwortgenerator von MySQL“

  1. Wenn alle Groß-, alle Kleinbuchstaben und alle Ziffern möglich sind (und auch keine weiteren Zeichen), sind’s (26+26+10)^6 = 56.800.235.584 Möglichkeiten – beim Lotto-6er mit Superzahl sind’s „nur“ 139.838.160.

    Allerdings bezweifle ich, dass das Passwort ein echtes Zufallsexperiment ist…

  2. Es ist wie Cimddwc vermutet, die Zufallsgeneratoren erzeugen keine echten Zufallswerte. Die schlechteren, und ein solcher scheint der von MySQL zu sein, erzeugen bei gleichen Startwerten immer den gleichen Zufallswert. Die besseren lassen den Wert der zuletzt erzeugten Komination wieder in die Startwerte einfließen. Aber auch diese Passwords sind keine echten Zufälle. Andererseits ist es auch bei echten Zufällen nicht unwahrscheinlicher, daß mehrfach dieselbe Komination gezogen wird. So ist es beim Lotto beispielsweise genauso wahrscheinlich, daß sechsmal hintereinander 1 2 3 4 5 6 7 gezogen wird wie jede andere Kombination.

  3. Es gibt einen Grund, weshalb Provider dir sagen, du sollst zufallsgenerierte Passwörter nach dem ersten Login ändern.
    Könnte trotzdem Zufall sein, oder halt schlampige Programmierung.

Kommentare sind geschlossen.