Wir alle müssen darauf achten, mathematisch undurchdringliche Passwörter zu erstellen. Und falls du zu den Hunderttausenden von Menschen gehörst, die Namen und Geburtsdaten in ihren Passwörtern verwenden(new window), dann ist es definitiv an der Zeit, deine Anmeldesicherheit zu verstärken.
In diesem Artikel erklären wir, wie du deine Passwort-Entropie schätzen und verbessern kannst, was großartig für deine Online-Sicherheit ist. Aber es gibt einen Kompromiss: Die Maximierung der Passwort-Entropie bedeutet im Grunde, dass es unmöglich für dich wird, es dir zu merken. Wie immer gibt es einen XKCD-Cartoon(new window), der das Problem auf den Punkt bringt.
Angesichts der vielen Online-Dienste, für die wir uns alle anmelden (mindestens Dutzende), ist es für den Durchschnittsmenschen fast unmöglich, sich ein starkes Passwort für jeden einzelnen zu merken.
Deshalb empfehlen wir die Verwendung eines Passwort-Managers wie Proton Pass, der Passwörter mit extrem hoher Entropie generieren kann. Er wird sie für dich merken und automatisch ausfüllen.
Im Folgenden erklären wir, was Passwort-Entropie bedeutet, wie du sie berechnen kannst und wie sie die Stärke deines Passworts beeinflusst. Das kann dir helfen, die sichersten Einstellungen in deinem Passwort-Manager auszuwählen (oder Anmeldungen für Dienste zu vermeiden, die Passwörter mit sehr niedriger Entropie erfordern).
Was bedeutet „Passwort-Entropie“?
Passwort-Entropie bezieht sich darauf, wie unvorhersehbar dein Passwort oder Ausdruck ist, gemessen in Bits. Typischerweise gilt: Je mehr Bits an Entropie vorhanden sind, desto komplexer ist ein Passwort und desto schwieriger ist es, es durch Brute-Force-Angriffe zu knacken.
Brute-Force-Angreifer verwenden Versuch und Irrtum, um Kombinationen von Zeichen in Anmeldeinformationen, Passwörtern und Verschlüsselungsdaten zu erraten.
Zum Beispiel verwenden viele Hacker komplexe Skripte und Maschinen, um innerhalb weniger Minuten tausende von Passwort-Versuchen zu automatisieren. In einem der aufschlussreichsten Fälle verarbeiteten Forscher bis zu 350 Milliarden Passwort-Versuche(new window) pro Sekunde.
Angreifer nutzen Brute-Force-Angriffe, um schwache Passwörter schnell aufzudecken. Indem du die Entropie deiner Passwörter misst und priorisierst, kannst du verhindern, dass diese Daten in falsche Hände geraten.
Wie beeinflusst Passwort-Entropie die Passwort-Stärke?
Mehrere Faktoren beeinflussen die Entropie eines Passworts und damit seine Stärke. Du musst folgende Aspekte deines Passworts berücksichtigen:
- Länge (in Zeichen)
- Verwendung von Groß- und Kleinbuchstaben
- Verwendung von numerischen Zeichen
- Verwendung von Sonderzeichen
Von allen hier aufgeführten Elementen ist die Passwortlänge(new window) am wichtigsten. Eine ausreichend lange Passphrase ist genug, um jeden Brute-Force-Angriff zu vereiteln. Dennoch kannst du die Entropie deines Passworts verbessern, indem du zufällige Großbuchstaben, Sonderzeichen und Ziffern verwendest.
Entropie und Komplexität sind nicht die einzigen Faktoren für die Stärke eines Passworts. Hacker können Wörterbuchangriffe nutzen, um deine Anmeldedaten zu erraten, wenn du ein erkennbares Wort oder eine häufige Phrase in deinem Passwort verwendest.
Ein Wörterbuchangreifer automatisiert Brute-Force-Versuche jedes Wortes in einem Wörterbuch, das in einem Passwort verwendet werden könnte.
Daher bist du, unabhängig von der Entropie deines Passworts, immer noch einem Hacking-Risiko ausgesetzt, wenn du Haustiernamen, Sportmannschaften oder andere gängige Passwörter (zum Beispiel niemals „password“ verwenden) in deinen Anmeldedaten benutzt.
Wie man die Entropie eines Passworts berechnet
Die Entropie eines Passworts wird in Bits gemessen und hängt von zwei Hauptfaktoren ab:
- Die Anzahl der verfügbaren Zeichen im gewählten Zeichenbereich für das Passwort
- Die Anzahl der Zeichen im Passwort
Daher steigt die Entropie eines Passworts, je länger es ist und je breiter der mögliche Zeichenbereich ist. Ein langes Passwort, das Großbuchstaben, Kleinbuchstaben, Symbole und Zahlen verwendet, wie HelpFidoSaveTony33!, hat eine sehr hohe Entropie. Ein Passwort, das nur Kleinbuchstaben oder Zahlen verwendet, wie crimson oder 112233, hat eine sehr niedrige Entropie.
Was sind Bits der Entropie?
Bits der Entropie messen, wie schwierig es ist, ein Passwort zu knacken. Zum Beispiel hat ein Passwort, das dir bereits bekannt ist, null Bits.
Mit einer Formel können wir berechnen, wie viele Entropie-Bits in einem Passwort enthalten sind, und damit, wie viele Versuche ein Angreifer-Skript oder eine Maschine benötigen würde, um Zugang zu erhalten.
Bevor wir jedoch die Entropie eines Passworts berechnen können, müssen wir alle verschiedenen möglichen Zeichenbereiche messen.
Messung von Zeichenbereichen
Die folgende Tabelle zeigt, wie sich deine Zeichenoptionen erhöhen, wenn du verschiedene Zeichen in dein Passwort einfügst, wenn du auf Englisch schreibst. Die Anzahl der Buchstaben und Symbole kann je nach der Sprache, die du verwendest, variieren.
| Zeichentyp | Beispiel(e) | Größe des Bereichs |
| Numerisch | 0, 1, 2, 3 | 10 |
| Lateinische Buchstaben (Kleinbuchstaben) | a, b, c, d | 26 |
| Lateinische Buchstaben (Großbuchstaben) | A, B, C, D | 26 |
| Sonderzeichen | !, @, %, $ | 32 |
Je mehr Auswahl an potenziellen Zeichen du potenziellen Hackern bietest, desto höher wird die Entropie deines Passworts. Daher solltest du eine möglichst breite Zeichenauswahl priorisieren und eine Mischung aus allen vier Typen verwenden.
Hier sind einige Beispiel-Passwörter und ihre gesamten Zeichenbereiche:
| Beispiel | Gesamter Zeichenbereich |
| 112233 | 10 |
| abcde | 26 |
| a1b2c3d4 | 36 |
| a1B2c3D4 | 62 |
| a1!B2%c3^D4 | 94 |
Denk daran, die obigen Daten zeigen dir die potenzielle Größe der Zeichenbereiche, nicht die Bits der Entropie. Wir müssen eine spezifische Formel verwenden, um die genaue Entropie von Passwörtern in Bits zu berechnen.
Formel zur Berechnung der Passwort-Entropie
Du kannst die Entropie eines Passworts in Bits mit der folgenden Formel messen:
E = L × log2(R)
In dieser Formel:
- E ist deine Passwort-Entropie
- R ist der mögliche Bereich der Zeichentypen in deinem Passwort (die oben gezeigten Tabellen)
- L ist die Anzahl der Zeichen in deinem Passwort (seine Länge)
- Log2 beantwortet die Frage „welche Potenz von 2 ergibt diese Zahl“
Mit dieser Formel hier ein paar Beispiel-Passwörter und ihre Entropie in Bits:
| Beispiel | Zeichenbereich | Passwortlänge | Berechnung | Bits der Entropie |
| Insolvenzen | 52 | 12 Zeichen. | E = 12 x 5,7 | 68.4 |
| 1Insolvenzen2 | 62 | 14 Zeichen. | E = 14 x 5,95 | 83.3 |
| 1Insolvenzen2&% | 94 | 16 Zeichen. | E = 16 x 6,55 | 104.8 |
Die Mathematik zeigt uns, dass ein Passwort umso sicherer ist, je länger und komplexer es ist.
Du kannst einen Passwort-Entropie-Rechner online verwenden, um schneller Ergebnisse zu erhalten, aber die oben genannten Gleichungen sind zuverlässig, wenn du die Mathematik lieber selbst machen möchtest.
Nochmals, Entropie ist nur ein Maß für die Stärke. Um Wörterbuchangriffe zu vermeiden, solltest du gängige Passwörter oder Phrasen meiden. Du solltest auch vermeiden, persönliche Informationen wie dein Geburtsdatum, den Namen deines Haustiers oder den Namen deiner Straße als Passwort zu verwenden, da Angreifer diese Informationen beschaffen können.
Wann gilt ein Passwort als stark?
Generell gilt ein starkes oder hochentropisches Passwort als eines, das mindestens 75 Bits erreicht. Alles, was weniger als 72 Bits misst, kann von einer Maschine relativ leicht geknackt werden.
Wir berechnen die maximale Anzahl möglicher Versuche mit der Berechnung 2 ^ (Anzahl der Bits). Es ist die Anzahl, wie oft sich die Zahl 2 verdoppelt, um die Gesamtzahl der Bits zu erreichen.
Ein Passwort mit 10 Bits Entropie benötigt beispielsweise mit 2 ^ 10 maximal 1.024 Versuche, um geknackt zu werden. Das ist typischerweise ein dreistelliges numerisches Passwort, wie zum Beispiel 456.
Strebe eine Entropie von über 100 Bits an, um ein starkes Passwort zu erstellen(new window), und ziele so hoch wie möglich. Je höher die Entropie, desto mehr Zeit wird es Maschinen nehmen, um eine korrekte Passwortvermutung per Brute-Force zu treffen.
Die Regeln für die Erstellung eines hochentropischen Passworts unterscheiden sich je nach Sicherheitsexperten, aber es gibt einige allgemeine Regeln, auf die wir uns alle einigen können:
- Dein Passwort sollte mindestens acht Zeichen lang sein und eine Mischung von Zeichen verwenden (nicht nur Kleinbuchstaben des Basis-Lateinalphabets)
- Du solltest keine Phrasen oder Begriffe verwenden, die für dich von Bedeutung sind (und daher leicht zu erraten sind)
- Ein starkes Passwort hat keinen Bezug zu seinem Benutzernamen (behandele die beiden immer als separate Entitäten)
- Es gibt eine Mischung aus mindestens einem Kleinbuchstaben, einem Großbuchstaben, einer Zahl und einem Sonderzeichen (zum Beispiel %, ^, *, &, @, ~ usw.)
Wir empfehlen auch die Verwendung einer Passwort-Blockliste, um zu vermeiden, dass Wörter oder Phrasen verwendet werden, die im Web häufig gewählt werden. Das NIST’s Bad Passwords Projekt(new window) ist zum Beispiel ein beliebtes Open-Source-Tool zur Erstellung hochentropischer Phrasen.
Wenn du ein sicheres Admin-Passwort für deinen Passwortmanager erstellen möchtest, beachte die folgenden Richtlinien
Zusammengefasst enthält ein wirklich sicheres Passwort zum Beispiel:
- Mindestens einen Großbuchstaben
- Mindestens einen Kleinbuchstaben
- Mindestens ein Sonderzeichen
- Mindestens eine Ziffer
- Eine Passphrase von ungefähr 20 Zeichen
Das obige Beispiel, HelpFidoSaveTony33!, erfüllt all diese Anforderungen und erstellt ein Passwort mit etwa 117 Bits Entropie, was derzeit durch Brute-Force unmöglich zu knacken ist.
Erzeuge starke Passwörter mit Proton Pass
Die einzige Möglichkeit, genügend starke Passwörter für alle deine Online-Konten zu generieren und zu merken, ist die Verwendung eines Passwort-Managers. Proton Pass generiert mit einem Klick sichere Phrasen für dich. Du kannst es verwenden, um 10-Wörter-Passphrasen oder 64-Zeichen-Zufallspasswörter zu erstellen, und du hast die Kontrolle darüber, ob jedes Passwort Zahlen, Großbuchstaben und Sonderzeichen verwendet, falls du die Entropie deiner Passwörter maximieren möchtest.
Mit Proton Pass sind deine Passwörter nicht nur schwer zu knacken – sie werden mit Ende-zu-Ende-Verschlüsselung gespeichert und durch sichere Zwei-Faktor-Authentifizierung über den weltweit sichersten kostenlosen Passwort-Manager. Lese Proton Passs Sicherheitsmodell(new window), um mehr zu erfahren.
Wenn dich Passwort-Entropie verwirrt, registriere dich und melde dich für Proton Pass an. Wir helfen dir, Passwörter zu generieren, zu speichern und zu sichern, um böswilligen Angriffen standzuhalten.
FAQ
Die Komplexität eines Passworts bezieht sich in der Regel auf seinen möglichen Zeichenumfang, während die Passwort-Entropie die Mathematik beschreibt, wie schwer es zu erraten ist. Entropie wird in Bits gemessen, was wiederum angibt, wie viele Brute-Force-Versuche nötig sind, um ein Passwort zu brechen.
Das hängt von der Länge der Wörter und den verwendeten Zeichen ab. Je länger das Passwort und je mehr verschiedene Arten von Zeichen du wählst, desto höher wird die Passwort-Entropie sein.
128 Bits Entropie bedeuten, dass dein Passwort wahrscheinlich stark genug ist, um den meisten Brute-Force-Angriffen von Maschinen standzuhalten. Jedes Passwort mit einer Entropie von mehr als 78 Bits ist für die meisten Maschinen schwer zu knacken.
