Passwort Entropie
</>
 
Passwort Entropie
Deutsch English

- Bits (wenn jemand zugeguckt hat)
sonst maximal - Bits

- (wenn jemand zugeguckt hat)
sonst maximal -

Alle Angaben ohne Gewähr.

Wie stark ist ein Passwort?

Man kann die Stärke eines Passwortes in dessen Entropie oder "Zeichenkombinationen die man durchprobieren muss" (bei einem Brute Force Angriff) ausdrücken.

E = C^L

E ist die Ethropie des Passwortes, C die Anzahl der unterschiedlichen Symbole aus denen es besteht und L die Länge des Passwortes. Die Entropie wird normalerweise logarithmisch zur Basis Zwei angegeben (Jedes Bit verdoppelt die Möglichkeiten).

S = E * T

S ist die Zeit die man benötigt um alle Möglichkeiten durchzuprobieren (im Schnitt wird das Passwort nach der Hälfte dieser Zeit gefunden), E ist wieder die Entropie oder mögliche Kombinationen und T ist die Zeit die man benötigt um ein Passwort zu testen. Die Zeit hängt von dem Hash Algorithmus und der Hash Geschwindigkeit der Hardware ab.

Nehmen wir als Beispiel ein Passwort das nur aus drei Kleinbuchstaben besteht, wie "abc". Die Anzahl der Kleinbuchstaben ist 26, also führt ein solches Passwort zu 26 * 26 * 26 = 17 576 (oder 14,1 Bits) Möglichkeiten die getestet werden müssen.

Als nächstes fügen wir auch Großbuchstaben in das Passwort ein, z.B. "aBc". Die Anzahl der verschiedenen Symbole verdoppelt sich auf 52, also führt ein Passwort aus drei Zeichen zu 52 * 52 * 52 = 140 608 (oder 17,1 Bits) Kombinationen. Verglichen mit "abc" erhöht sich die Entropie somit um den Faktor Acht.

Nun, was passiert, wenn wir es ein Zeichen länger machen und bei Kleinbuchstaben bleiben, wie "abcd"? Bei einem Passwort aus vier Kleinbuchstaben kommt 26^4 = 456 976 (oder 18,8 Bits) heraus, das ist sechsundzwanzigmal mehr Entropie im Vergleich zu nur drei Kleinbuchstaben.

Es ist also einfacher die Entropie zu erhöhen indem man die Länge des Passwortes verlängert als wenn man zusätzliche Symbole einfügt. Ein Angreifer könnte bei der Passworteingabe auch zugeschaut (oder zugehört) haben (und dabei besonders auf den Anschlag der Shift Taste, Leertaste oder Numpad geachtet haben) und dadurch wissen welche Symbole bestimmt nicht verwendet wurden.

Um es milde auszudrücken: Jede Webseite, die einen zwingt Kleinbuchstaben, Großbuchstaben UND Zahlen UND Sonderzeichen einzusetzen, ABER im Gegenzug nur eine Passwortlänge von acht Zeichen vorschreibt, wendet so nicht unbedingt Maßnahmen an um einfach eine hohe Entropie zu erzeugen.