Sicherheitsleitfaden

Passwort-Entropie und das Prinzip des Hackens

Die Entropie ist ein Maß dafür, wie unvorhersehbar ein Passwort ist, und lässt abschätzen, wie schwierig ein Angriff wird.

Was ist Entropie

Die Entropie gibt die Zahl der möglichen Passwörter auf einer Logarithmus-2-Skala (Bit) an. So bedeuten 40 Bit etwa 1 Billion und 60 Bit etwa 1 Trillion mögliche Kombinationen.

Die Entropie berechnet sich näherungsweise aus „Länge × log2(Größe des Zeichenpools)“. Die Länge zu erhöhen ist der sicherste Weg, die Entropie zu steigern.

Brute-Force vs. Wörterbuchangriff

Beim Brute-Force werden nacheinander alle möglichen Kombinationen durchprobiert – je höher die Entropie, desto unrealistisch länger dauert das.

Ein Wörterbuchangriff probiert zuerst häufige Passwörter, Wörter und Leak-Listen aus. Deshalb wird ein noch so langes Passwort im Handumdrehen geknackt, wenn es ein gängiges Wort oder Muster ist. Genau darum ist Zufälligkeit so wichtig.

Hash und Leaks

Gut gemachte Websites speichern Passwörter nicht im Klartext, sondern als Hash. Werden die Daten jedoch geleakt, kann ein Angreifer offline Milliarden Versuche pro Sekunde unternehmen.

Dann macht ein langes, zufälliges Passwort die Cracking-Kosten untragbar und ist damit praktisch sicher.

Wie stark muss es sein

Praktische Richtwerte sind die folgenden.

  • Unter 28 Bit: sehr schwach (sofort geknackt)
  • 40 bis 60 Bit: mittel (unwichtige Konten)
  • 60 bis 100 Bit: stark (für die meisten Konten ausreichend)
  • Über 100 Bit: sehr stark (langfristige Sicherheit)
Zur Leitfadenübersicht