Passwort-Entropie
Was ist Passwort-Entropie?
Passwort-EntropieMass in Bit fur die Unvorhersagbarkeit eines Passworts: hohere Entropie bedeutet, dass ein Angreifer mehr Versuche braucht.
Die Passwort-Entropie misst, wie schwer ein Passwort zu raten ist. Fur eine gleichverteilte Zufallszeichenfolge der Lange L aus einem Alphabet der Groesse N betragt sie L * log2(N) Bit. Von Menschen gewahlte Passworter haben deutlich geringere effektive Entropie wegen Worterbuchwortern, vorhersehbarer Ersetzungen und wiederverwendeter Muster, wie Claude Shannon und spaetere kryptografische Arbeiten gezeigt haben. Anhang A des NIST SP 800-63B erlautert, dass reine Bitschatzungen praktisch unzuverlassig sind, und empfiehlt stattdessen Mindestlange und Abgleich mit Leak-Listen statt komplexer Zusammensetzungsregeln. Praktisch erreicht man widerstandsfahige Entropie mit langen Passphrasen wie den vier zufallig gewahlten EFF-Diceware-Wortern (rund 51 Bit) plus Passwortmanager.
● Beispiele
- 01
Ein zufalliges 12-Zeichen-Passwort aus einem 94-Zeichen-Alphabet hat etwa 78 Bit Entropie.
- 02
Eine 4-Wort-EFF-Diceware-Passphrase hat etwa 51 Bit Entropie, ausreichend gegen die meisten Offline-Angriffe.
● Häufige Fragen
Was ist Passwort-Entropie?
Mass in Bit fur die Unvorhersagbarkeit eines Passworts: hohere Entropie bedeutet, dass ein Angreifer mehr Versuche braucht. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Passwort-Entropie?
Mass in Bit fur die Unvorhersagbarkeit eines Passworts: hohere Entropie bedeutet, dass ein Angreifer mehr Versuche braucht.
Wie funktioniert Passwort-Entropie?
Die Passwort-Entropie misst, wie schwer ein Passwort zu raten ist. Fur eine gleichverteilte Zufallszeichenfolge der Lange L aus einem Alphabet der Groesse N betragt sie L * log2(N) Bit. Von Menschen gewahlte Passworter haben deutlich geringere effektive Entropie wegen Worterbuchwortern, vorhersehbarer Ersetzungen und wiederverwendeter Muster, wie Claude Shannon und spaetere kryptografische Arbeiten gezeigt haben. Anhang A des NIST SP 800-63B erlautert, dass reine Bitschatzungen praktisch unzuverlassig sind, und empfiehlt stattdessen Mindestlange und Abgleich mit Leak-Listen statt komplexer Zusammensetzungsregeln. Praktisch erreicht man widerstandsfahige Entropie mit langen Passphrasen wie den vier zufallig gewahlten EFF-Diceware-Wortern (rund 51 Bit) plus Passwortmanager.
Wie schützt man sich gegen Passwort-Entropie?
Schutzmaßnahmen gegen Passwort-Entropie kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Passwort-Entropie?
Übliche alternative Bezeichnungen: Entropie eines Passworts, Rateentropie.
● Verwandte Begriffe
- identity-access№ 795
Passwort
Eine geheime Zeichenfolge, die ein Nutzer angibt, um seine Identität gegenüber einem System nachzuweisen; traditionell der dominierende Einfaktor-Authentifizierungsmechanismus.
- identity-access№ 798
Passwortrichtlinie
Dokumentierter Regelsatz dafur, wie Benutzerpasswoerter erstellt, gespeichert, gewechselt und gepruft werden, um Sicherheit und Benutzbarkeit auszubalancieren.
- identity-access№ 797
Passwort-Manager
Eine Anwendung, die starke, einmalige Zugangsdaten erzeugt, speichert und automatisch einsetzt; abgesichert durch eine Master-Passphrase und zunehmend auch Passkeys.
- identity-access№ 884
Geleaktes Passwort (Pwned)
Passwort, das in einem bekannten Datenleck aufgetaucht ist und daher gemass dem Have-I-Been-Pwned-Dienst von Troy Hunt nie als Benutzergeheimnis zugelassen werden darf.
- cryptography№ 059
Argon2
Moderne speicherharte Passwort-Hash- und Schlüsselableitungsfunktion, Sieger der Password Hashing Competition 2015 und in RFC 9106 spezifiziert.
- cryptography№ 087
bcrypt
Adaptive Passwort-Hashfunktion auf Basis der Blowfish-Chiffre mit einstellbarem Kostenfaktor, 1999 von Provos und Mazières entworfen.