Passwort-Entropie: Warum schwer zu erratende Passwörter so wertvoll sind
Über die Passwort-Entropie lässt sich messen, wie schwer es ist, ein Passwort zu knacken.
Die meisten von uns nutzen Passwörter, die den Entropie-Test nicht bestehen würden. Ein Beispiel: „123456“ und „QWERTY“ gehören zu den meistgenutzten Passwörtern des Jahres 2021.
Um mehr darüber zu erfahren, wie Sie sensible Informationen vor Hackern schützen können, müssen Sie zunächst verstehen, was Passwort-Entropie ist und wie man sie misst.
Legen wir los!
Was bedeutet Passwort-Entropie
Sie wollen Ihre Daten schützen. Hacker wollen Ihre Daten stehlen. Wie können Sie sich zuverlässig schützen? Passwort-Entropie ist ein guter Anfang.
Damit lässt sich messen, wie sicher ein Passwort ist. Hacker greifen zunächst auf folgende Methoden zurück, um ein Passwort zu knacken:
-
Einfaches Raten. Hacker testen zunächst stets einfache und beliebte Passwörter, wenn er sich Zugriff verschaffen will – wie „Passwort“ zum Beispiel.
-
Brute Force. Hacker verwenden Programme, die auf der Basis mathematischer Wahrscheinlichkeiten Dutzende von Passwörtern pro Minute ausprobieren.
-
Analyse. Hacker untersuchen Ihren gesamten Online-Footprint – inklusive der Social-Media-Accounts –, um Ihre Adresse, den Namen Ihres Haustiers und weitere Daten, die häufig zur Erstellung eines Passworts herangezogen werden, herauszufinden.
Passwort-Entropie misst die Wahrscheinlichkeit, dass eine dieser Methoden bei einem versuchten Angriff von Erfolg gekrönt ist.
Die Regeln der Passwort-Entropie
IT-Verantwortliche kennen sich mit der Passwort-Entropie bestens aus – und stellen deshalb Regeln für das Erstellen von Passwörtern auf, welche Mitarbeitende zu befolgen haben.
Ein robustes Regelwerk für die Passworterstellung empfiehlt Passwörter, die folgenden Vorgaben genügen:
-
Lassen Sie sich ein Passwort generieren. Wenn man ein Passwort nutzt, welches vom System generiert wurde, kann es auch ruhig ein wenig kürzer ausfallen – im Gegensatz zu einem, das der User selbst wählt.
-
Nutzen Sie lange Passwörter. Ein selbst gewähltes Passwort sollte mindestens 8 Zeichen enthalten.
-
Ändern Sie Ihr Passwort in regelmäßigen Abständen. Jedes Unternehmen pflegt in der Regel eine Liste an Passwörtern, die zwar beliebt, aber auch sehr unsicher sind – diese dürfen Mitarbeitende dementsprechend nicht nutzen.
Es klingt wahrscheinlich verlockend, auf diesen Regeln aufzubauen und die Vorgaben noch zu verschärfen. Leider finden Mitarbeiter immer eine Möglichkeit, die Vorgaben zu umgehen. Weil viele Anwender Schwierigkeiten haben, sich ihre Passwörter zu merken, nutzen sie häufig mehrfach das gleiche Passwort, notieren es oder teilen es sogar.
Im Idealfall sollten Sie Ihre Workforce deshalb umfassend in Sachen Passwort-Entropie schulen. So lernen sie Passwörter zu wählen, die einprägsam, aber auch sicher sind.
Nutzen Sie einen Entropie-Rechner
Bei der Messung der Passwort-Entropie spielt die zugrundeliegende Mathematik eine ausschlaggebende Rolle. Die Formel scheint auf den ersten Blick komplex – aber die Theorie, die dahinter steckt, ist im Prinzip leicht zu verstehen.
Passwort-Entropie wird für gewöhnlich in der Einheit „Bit“ angegeben. Je niedriger der errechnete Wert ist, umso wahrscheinlicher ist es, dass ein Passwort leicht geknackt werden kann. Je höher der errechnete Wert ist, umso mehr muss sich ein Angreifer anstrengen, um das Passwort zu knacken.
Eine Formel zur Berechnung der Passwort-Entropie lautet zum Beispiel:
E = log2(RL)
-
E steht für Passwort-Entropie
-
R steht für die mögliche Zeichenzahl des Passworts
-
L steht für die tatsächliche Zeichenzahl des Passworts
Sie können den Entropie-Wert auf zwei Arten erhöhen:
-
Nutzen Sie mehr unterschiedliche Zeichen-Typen. Verwenden Sie Groß- und Kleinschreibung, Sonderzeichen und Zahlen.
-
Nutzen Sie ein längeres Passwort. Längere Passwörter weisen einen höheren Entropie-Score auf als kurze Passwörter.
Versuchen Sie mit Ihrem Passwort mindestens den Wert 60 zu erreichen. Denken Sie aber daran, dass Sie sich noch immer an Ihr Passwort erinnern müssen. Zu lange und zu komplexe Passwörter sind demnach ebenfalls kontraproduktiv.
Okta empfiehlt das Modell eines unternehmensweiten Passwort-Managements. Mehr zu dieser Empfehlung erfahren Sie hier. Am allerbesten finden wir es aber, gar kein Passwort zu nutzen. Mehr dazu in unserem Whitepaper Move Beyond Passwords.
Referenzen
10 Most Common Passwords in 2021. (April 2021). Becker's Health IT.
Digital Identity Guidelines. (Juni 2021). NIST.
Calculating Password Entropy. Pleacher.