Was ist Entropie
Die Entropie gibt die Zahl der möglichen Passwörter auf einer Logarithmus-2-Skala (Bit) an. So bedeuten 40 Bit etwa 1 Billion und 60 Bit etwa 1 Trillion mögliche Kombinationen.
Die Entropie berechnet sich näherungsweise aus „Länge × log2(Größe des Zeichenpools)“. Die Länge zu erhöhen ist der sicherste Weg, die Entropie zu steigern.
Brute-Force vs. Wörterbuchangriff
Beim Brute-Force werden nacheinander alle möglichen Kombinationen durchprobiert – je höher die Entropie, desto unrealistisch länger dauert das.
Ein Wörterbuchangriff probiert zuerst häufige Passwörter, Wörter und Leak-Listen aus. Deshalb wird ein noch so langes Passwort im Handumdrehen geknackt, wenn es ein gängiges Wort oder Muster ist. Genau darum ist Zufälligkeit so wichtig.
Hash und Leaks
Gut gemachte Websites speichern Passwörter nicht im Klartext, sondern als Hash. Werden die Daten jedoch geleakt, kann ein Angreifer offline Milliarden Versuche pro Sekunde unternehmen.
Dann macht ein langes, zufälliges Passwort die Cracking-Kosten untragbar und ist damit praktisch sicher.
Wie stark muss es sein
Praktische Richtwerte sind die folgenden.
- Unter 28 Bit: sehr schwach (sofort geknackt)
- 40 bis 60 Bit: mittel (unwichtige Konten)
- 60 bis 100 Bit: stark (für die meisten Konten ausreichend)
- Über 100 Bit: sehr stark (langfristige Sicherheit)