Passwort-Entropie
Mit der sogenannten Passwort-Entropie wird versucht, eine Aussage darüber zu treffen, wie gut oder schlecht es durch einen Angreifer vorhersagbar ist.
Die Entropie eines Passworts wird dabei von den verwendeten Zeichen bestimmt. Sie kann zum Beispiel durch die Verwendung von Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen erweitert werden. Dazu kommt die Länge des Passworts, die eine sehr große Rolle spielt. Die Entropie eines Passworts besagt, wie schwierig es ist, es durch Erraten, Brute Force, einen Wörterbuchangriff oder andere Methoden zu knacken.
Die Entropie von Passwörtern wird meist in Form von Bits angegeben. Ein bereits bekanntes Passwort hat beispielsweise eine Entropie von 0 Bit. Ein Passwort, das in der Hälfte der Fälle direkt vorausgesagt werden kann, hat eine Entropie von 1 Bit. Die Entropie eines Passwortes kann berechnet werden, indem die Entropie für jedes verwendete Zeichen bestimmt wird. Für ein Kennwort mit einer Entropie von zum Beispiel 30 Bit werden 2 hoch 30 Versuche benötigt, um alle Möglichkeiten durchzurechnen.
Das amerikanische NIST (National Institute of Standards and Technology) hat folgende Empfehlungen für Passwörter mit einer Entropie von 30 formuliert:
- Verwenden Sie mindestens acht Zeichen aus einem Zeichensatz, der aus mindestens 94 Zeichen besteht.
- Integrieren Sie mindestens je einen Großbuchstaben, einen Kleinbuchstaben, eine Ziffer und ein Sonderzeichen.
- Greifen Sie auf ein Wörterbuch mit Begriffen zurück, die nicht genutzt werden dürfen. Dafür eignet sich eine Blacklist mit bereits bekannt gewordenen Passwörtern.
- Nehmen Sie keine Abwandlungen Ihres Nutzernamens in Ihr Passwort auf.
Die Entropie von Passwörtern ist aber nicht der einzige Punkt, der bei ihrer Verwendung in Betracht gezogen werden sollte. Sonst würden unsere Passwörter viel zu lang und zu komplex, so dass sie sich niemand mehr merken kann. So haben Untersuchungen ergeben, dass wenn man Anwender zu möglichst langen Passwörtern zwingt, dies die Sicherheit nicht zwangsläufig erhöht, da dies ein vorhersehbares Verhalten der Nutzer zur Folge haben könnte.
Am besten überlegen Sie sich etwas, wie Sie sich gut merken können, was aber auf der anderen Seite von anderen nicht leicht erraten werden kann. Gerne wird dafür ein Satz genommen und dann jeweils der erste Buchstabe der enthaltenen Wörter aufgeschrieben. Das Ergebnis wird dann noch mit Sonderzeichen und Ziffern garniert und fertig ist ein sicheres Passwort.
Nicht vergessen werden darf, dass die Länge Ihres Passworts eine besonders wichtige Rolle spielt. Sie bestimmt maßgeblich die Stärke Ihres Passworts und seine Entropie. Wenn es sorgfältig gewählt wird, kann ein langes Passwort aber sogar einfacher zu merken sein als ein kurzes Passwort und trotzdem weit sicherer sein.