Passwort-Entropie verstehen
Entropie ist das mathematische Maß für Passwortstärke. Das Verstehen dieses Konzepts hilft Ihnen, wirklich sichere Passwörter zu erstellen.
Was ist Entropie?
Entropie misst Unvorhersagbarkeit in Bits. Jedes Bit verdoppelt die Anzahl möglicher Kombinationen. Ein Münzwurf hat 1 Bit Entropie (2 Möglichkeiten). Ein Würfel hat etwa 2,6 Bits (6 Möglichkeiten). Für Passwörter berechnet sich Entropie als: log2(mögliche_zeichen^länge). Ein 8-Zeichen-Passwort mit nur Kleinbuchstaben (26 Zeichen) hat log2(26^8) = 37,6 Bits. Das Knacken von Passwörtern funktioniert durch Ausprobieren von Kombinationen. Mit 37,6 Bits müsste ein Angreifer durchschnittlich die Hälfte von 2^37,6 (etwa 100 Milliarden) Möglichkeiten versuchen. Moderne GPUs können Milliarden von Hashes pro Sekunde versuchen, was niedrige Entropie gefährlich macht. Sichere Passwörter sollten mindestens 60 Bits Entropie haben, während 80+ Bits auch gegen zukünftige Hardware sicher bleiben.
Berechnung der Entropie
Basis-Berechnung: Bits = log2(Zeichensatz-Größe) × Länge Zeichensatz-Größen: Nur Kleinbuchstaben (a-z) = 26 Zeichen. Plus Großbuchstaben (+A-Z) = 52. Plus Ziffern (+0-9) = 62. Plus Sonderzeichen (+!@#$...) = ~95. Beispiel-Berechnungen: 8 Zeichen, nur Kleinbuchstaben: log2(26) × 8 = 37,6 Bits. 12 Zeichen, gemischte Groß-/Kleinbuchstaben und Zahlen: log2(62) × 12 = 71,5 Bits. 16 Zeichen, alle Typen: log2(95) × 16 = 105 Bits. Diese Berechnungen setzen echte Zufälligkeit voraus. "password1234" hat trotz 12 Zeichen fast null Entropie, weil es kein zufälliges Muster ist. Menschen sind schlecht darin, zufällige Sequenzen zu erzeugen – deshalb brauchen Sie einen Generator.
Praktische Empfehlungen
Basierend auf der aktuellen Rechenleistung: 40-50 Bits bieten minimale Sicherheit (Online-Angriffe nur), 60-70 Bits sind gut (sicher gegen die meisten Angriffe), 80+ Bits sind stark (auch gegen Offline-Angriffe sicher) und 100+ Bits sind übertrieben, aber warum nicht. Mindestlängen-Empfehlungen bei Verwendung aller Zeichentypen: 10 Zeichen bieten minimale Sicherheit, 12-14 Zeichen sind für die meisten Konten gut, 16+ Zeichen werden für kritische Konten empfohlen und 20+ Zeichen für maximale Sicherheit. Passphrasen können höhere Entropie mit besserer Einprägsamkeit erreichen. Eine 4-Wort-Passphrase aus einem Wörterbuch mit 7.776 Wörtern hat log2(7776^4) = 51,7 Bits. Eine 6-Wort-Passphrase hat 77,5 Bits und ist immer noch einigermaßen einprägsam. Denken Sie daran: Länge schlägt Komplexität. "elefant-orange-trampolin-fenster" ist stärker als "Xy7$" und viel einfacher zu tippen.
Tool ausprobieren
Passwort-Generator