Entropie von Passwörtern

Mit der sogenannten Passwort-Entropie wird versucht, eine Aussage darüber zu treffen, wie gut oder schlecht es durch einen Angreifer vorhersagbar ist.

Die Entropie eines Passworts wird dabei von den verwendeten Zeichen bestimmt. Sie kann zum Beispiel durch die Verwendung von Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen erweitert werden. Dazu kommt die Länge des Passworts, die eine sehr große Rolle spielt. Die Entropie eines Passworts besagt, wie schwierig es ist, es durch Erraten, Brute Force, einen Wörterbuchangriff oder andere Methoden zu knacken.

Die Entropie von Passwörtern wird meist in Form von Bits angegeben. Ein bereits bekanntes Passwort hat beispielsweise eine Entropie von 0 Bit. Ein Passwort, das in der Hälfte der Fälle direkt vorausgesagt werden kann, hat eine Entropie von 1 Bit. Die Entropie eines Passwortes kann berechnet werden, indem die Entropie für jedes verwendete Zeichen bestimmt wird. Für ein Kennwort mit einer Entropie von zum Beispiel 30 Bit werden 2 hoch 30 Versuche benötigt, um alle Möglichkeiten durchzurechnen.

Beispiel:

Die Anzahl an 20-stelligen Passphrasen über dem Alphabet A={a,b,c,…,z} der Kleinbuchstaben beträgt:

(#A)²⁰ = 26²⁰

Sei nun e die Länge der Bitfolge, mit der die gleiche Anzahl an Passphrasen dargestellt werden kann, also:

2^e = 26²⁰

e = log₂(26²⁰) = 20 log₂(26) = 20 log(26)/log(2) = 94

Damit können durch Bitfolgen der Länge 94 Bit genauso viele Passphrasen dargestellt werden wie durch 20 Stellen über dem Alphabet A der Kleinbuchstaben. Man sagt, eine 20-stellige Passphrase über dem Alphabet A der Kleinbuchstaben enthält 94 Bit Entropie.

Wie viel Bit Entropie enthält ein 8-stelliges Zufallswort über

a) dem Alphabet A={a,b,c,…,z} der Kleinbuchstaben?

b) dem Alphabet der ASCII-Zeichen?

Wie lang muss ein Passwort über dem Alphabet A={a,b,c,…,z} der Kleinbuchstaben gewählt werden, damit es genau so viel Entropie enthält wie

a) ein 8-stelliges Passwort über den Alphabet der ASCII-Zeichen?

b) ein 10-stelliges Passwort über den Alphabet der ASCII-Zeichen?

c) ein n-stelliges Passwort über den Alphabet der ASCII-Zeichen?

Unter der Voraussetzung, dass eine Angreiferin Kenntnis darüber hat, dass das Diceware-Verfahren verwendet wurde (und sogar auch noch die verwendete Wortliste kennt): Wie viel Bit Entropie enthält ein Zufallswort, das nach dem Diceware-Verfahren generiert worden ist? Welche Entropie ergibt sich daraus für eine Passphrase, die aus 8 Zufallswörtern gebildet wurde?

Wie viele Passwörter müssen mittels des Diceware-Verfahrens zu einer Passphrase zusammengesetzt werden, die mindestens 128 Bit Entropie enthalten soll?