Sicherheitsleitfaden

Passwort-Entropie erklärt

Verstehen Sie Passwort-Entropie, Suchraum, Alphabetgröße, Länge und warum theoretische Bits nur eine Obergrenze darstellen.

Zusammenfassung

Passwort-Entropie beschreibt die Größe des Suchraums, den ein Angreifer durchsuchen müsste. Für ein gleichmäßig zufälliges Passwort lautet eine nützliche Obergrenzen-Formel:

bits = length × log2(alphabet size)

Nutzen Sie den Passwort-Knackzeit-Rechner, um Annahmen zu vergleichen.

Alphabetgröße

Die Alphabetgröße ist die Anzahl möglicher Zeichen. Kleinbuchstaben ergeben 26 Optionen. Groß- und Kleinbuchstaben ergeben 52. Mit Ziffern sind es 62. Symbole können den Pool weiter vergrößern, aber nur, wenn der Dienst sie akzeptiert und der Generator sie zufällig auswählt.

Länge

Die Länge multipliziert den Suchraum. Ein längeres zufälliges Passwort bringt in der Regel eine größere praktische Verbesserung als ein kurzes Passwort, das mit vorhersagbaren Symbolen verziert ist.

Warnung zur Obergrenze

Die Formel geht davon aus, dass jede Position gleichmäßig zufällig aus dem Alphabet gewählt wird. Sie gilt nicht für menschliche Phrasen, wiederverwendete Passwörter, Wörterbuchwörter, Daten, Tastaturmuster, geleakte Anmeldedaten oder bearbeitete Ausgaben. Sie modelliert auch kein serverseitiges Hashing oder Online-Ratenbegrenzungen.

Praktische Empfehlungen

• Behandeln Sie Entropie als Vergleichswerkzeug, nicht als Garantie.
• Bevorzugen Sie zufällig generierte Werte.
• Verwenden Sie mehr Länge bei eingeschränkten Alphabeten.
• Halten Sie jedes Passwort einzigartig.
• Speichern Sie Ergebnisse sicher.

Detaillierte Anleitung

Dieser Leitfaden konzentriert sich auf die Interpretation der Passwort-Entropie ohne Übertreibung. Er richtet sich an Leser, die Länge, Alphabetgröße und Passphrasen-Wortlisten vergleichen. Das praktische Ziel ist es, keine dramatischen Sicherheitsbehauptungen aufzustellen, sondern eine Passwortgewohnheit zu wählen, die den Alltag übersteht: Anmeldeformulare, Passwortmanager, mobile Tastaturen, Kontowiederherstellung, gemeinsam genutzte Geräte und gelegentliche Dienste mit seltsamen Validierungsregeln. Eine sichere Empfehlung ist nur nützlich, wenn eine reale Person sie konsequent befolgen kann.

Der sicherste Ausgangspunkt ist Zufälligkeit plus Einzigartigkeit. Zufälligkeit bedeutet, dass der Wert aus einem großen Raum von einer kryptografisch geeigneten Zufallsquelle ausgewählt wird, nicht aus einem Geburtstag, einem Haustiernamen, einem Tastaturmuster oder einem Lieblingszitat erfunden. Einzigartigkeit bedeutet, dass dasselbe Passwort nirgendwo anders verwendet wird. Ein langes, aber wiederverwendetes Passwort kann nach einem einzigen unabhängigen Datenleck schnell versagen, während ein einzigartiges zufälliges Passwort den Schaden auf das einzelne Konto begrenzt, in dem es verwendet wurde.

Für dieses Thema ist ein praktischer Vorgabewert die Länge multipliziert mit log2 der zufälligen Alphabetgröße für gleichmäßig zufällige Passwörter. Sie können diesen Vorgabewert mit dem Passwortstärke-Prüfer anwenden und den endgültigen Wert dann in einem vertrauenswürdigen Passwortmanager speichern. PwdGen generiert Werte lokal im Browser mit Web Crypto; das generierte Passwort wird nicht an einen PwdGen-Server gesendet. Dieses lokale Design reduziert die serverseitige Exposition, schützt aber nicht vor jeder Bedrohung. Eine bösartige Browsererweiterung, ein kompromittiertes Gerät, eine Phishing-Seite oder unsichere Zwischenablage können ein Geheimnis nach der Generierung dennoch offenlegen.

Die häufigsten Probleme, die es zu vermeiden gilt, sind die Anwendung der einfachen Formel auf menschlich gewählte Passwörter, das Ignorieren von Wiederverwendung und die Behandlung von Schätzungen als Garantien. Diese Probleme sind wichtig, weil Angreifer selten jedes mögliche Passwort durch Brute-Force ermitteln müssen, wenn menschliche Gewohnheiten ihnen eine Abkürzung bieten. Credential Stuffing, Phishing, geleakte Passwortlisten und Missbrauch der Kontowiederherstellung sind oft realistischer als eine rein mathematische Suche. Deshalb kombiniert der beste Rat Passwortqualität mit Kontrollen auf Kontenebene wie MFA, Passkeys, Wiederherstellungscode-Speicherung und regelmäßige Überprüfung der Wiederherstellungs-E-Mail- oder Telefoneinstellungen.

Verwenden Sie diese Checkliste bei der Anwendung der Empfehlung:

• Verwenden Sie Entropie nur für zufällige Generierung.
• Verwenden Sie zxcvbn-ähnliche Prüfungen für menschliche Eingaben.
• Erhöhen Sie die Länge, wenn Alphabetbeschränkungen gelten.
• Denken Sie daran, dass Speicher-Hashes die Angriffsgeschwindigkeit beeinflussen.

Wenn eine Website die ideale Einstellung ablehnt, erzwingen Sie das Passwort nicht von Hand in ein schwächeres Muster. Passen Sie jeweils eine Variable an. Wenn Symbole abgelehnt werden, aktivieren Sie Großbuchstaben, Kleinbuchstaben und Zahlen und erhöhen Sie die Länge. Wenn eine maximale Länge niedrig ist, verwenden Sie die größte akzeptierte Länge und stellen Sie sicher, dass der Wert einzigartig ist. Wenn ein Passwort vorgelesen, ausgedruckt oder auf einem Fernseh- oder Router-Bildschirm eingegeben werden muss, erwägen Sie, verwirrende Zeichen auszuschließen und die Länge zu erhöhen, um das kleinere Alphabet auszugleichen.

Denken Sie schließlich an die Grenzen von Passwort-Ratschlägen. Ein starkes Passwort ist eine Verteidigungsschicht, keine Garantie. Es kann keine Phishing-Seite sicher machen, Malware beheben oder einen Dienst kompensieren, der Anmeldedaten schlecht speichert. Die nützliche Gewohnheit ist langweilig, aber beständig: Generieren Sie einen eindeutigen Wert, speichern Sie ihn sicher, schützen Sie den Wiederherstellungspfad und ersetzen Sie ihn schnell, wenn Sie eine Offenlegung vermuten.

Ein sicherer nächster Schritt

Führen Sie nach dem Lesen dieses Leitfadens eine kleine Kontoüberprüfung durch, anstatt zu versuchen, alles auf einmal zu reparieren. Wählen Sie das Konto aus, das die meisten Probleme verursachen würde, wenn es übernommen würde, bestätigen Sie, dass sein Passwort einzigartig ist, und überprüfen Sie die Wiederherstellungs-E-Mail, das Wiederherstellungstelefon, die MFA-Methode und die Speicherung von Backup-Codes. Wenn ein Teil dieser Kette schwach ist, verbessern Sie diesen Teil, bevor Sie zu Konten mit geringerem Risiko übergehen. Diese Reihenfolge hält die Arbeit überschaubar und schützt die Konten, die Angreifer am wahrscheinlichsten als Sprungbrett nutzen. Für die Erklärung der Passwort-Entropie ist das beste Ergebnis eine wiederholbare Gewohnheit: lokal generieren, sorgfältig speichern und Wiederverwendung vermeiden.

Häufig gestellte Fragen

Wie lautet die einfache Entropie-Formel?

Für gleichmäßig zufällige Zeichen ist eine gängige Obergrenzen-Formel: Länge multipliziert mit log2 der Alphabetgröße.

Warum ist Entropie nur eine Schätzung?

Sie geht von einer gleichmäßigen Zufallsauswahl aus und berücksichtigt keine Wiederverwendung, Lecks, menschliche Bearbeitungen, kompromittierte Geräte oder die Speicherung beim Ziel.

Fügen Symbole immer mehr Entropie hinzu?

Symbole erhöhen die Alphabetgröße, wenn sie zufällig ausgewählt werden, aber eine Verlängerung bringt oft einen größeren und einfacher zu nutzenden Vorteil.