Entropie – was heißt das eigentlich?

Entropie beschreibt, wie schwer ein Passwort oder eine Passphrase zu erraten ist. Je höher der Entropiewert, desto mehr Möglichkeiten gibt es – und desto sicherer bist du.

Stell dir vor:

• Ein Passwort mit 40 Bit Entropie kann ein moderner Computer in wenigen Sekunden bis Minuten knacken.

• Ein Passwort mit 200 Bit Entropie würde selbst den schnellsten Supercomputer länger beschäftigen, als das Alter des Universums – also praktisch unmöglich zu knacken!

Kurz gesagt:
Je mehr Entropie, desto stärker ist dein Passwort – und desto entspannter kannst du online unterwegs sein.

Die Entropie eines Passworts wird mit folgender Formel berechnet:
Wir verwenden log₂ (den binären Logarithmus) bei der Entropie-Berechnung, weil wir damit ausdrücken, wie viele „Ja/Nein“-Fragen (Bits) nötig wären, um ein Passwort eindeutig zu erraten. In der Informationstheorie steht ein „Bit“ für eine Entscheidung zwischen zwei Möglichkeiten (z.B. 0 oder 1).

E=L×log⁡2(R)

• E = Entropie in Bit
• L = Länge des Passworts (Anzahl der Zeichen)
• R = Anzahl der möglichen Zeichen 

Beispiel

Regenbogen-Kaugummi-Einhorn-37!

1. Zeichenvorrat bestimmen

Üblicherweise sind in Passwörtern folgende Zeichengruppen erlaubt:

- Großbuchstaben: 26 (A–Z)
- Kleinbuchstaben: 26 (a–z)
- Zahlen: 10 (0–9)
- Sonderzeichen: 33 (z. B. ! # $ % & ( ) * + , - . / : ; = ? @ [ ] ^ _ { | } ~)

Gesamter Zeichenvorrat:
26+26+10+33 = 95 Zeichen

Länge der Passphrase

Die Passphrase Regenbogen-Kaugummi-Einhorn-37! hat 31 Zeichen (inklusive Bindestrichen und Ausrufezeichen).

2. Entropie berechnen

Beispiel für eine Passphrase aus 4 Wörtern

Du nimmst 4 Wörter, die zufällig aus 200.000 möglichen Wörtern ausgewählt sind:

Entropie=4×log⁡2(200.000)
log⁡2(200.000)≈17
4×17=68 Bits

Entropie für: Regenbogen-Kaugummi-Einhorn-37!

E=31×(log2)95     ->    (log2)95≈0,57

E=31×6,57≈203,67 Bits

Hinweis:
Die tatsächliche Sicherheit hängt auch davon ab, wie zufällig die Wörter gewählt sind und ob sie in Wörterbuchangriffen vorkommen. Die 2. Entropie-Berechnung oben gilt für Zeichen-für-Zeichen-Zufallspasswörter. Die 1. Entropie-Berechnung gilt  für rein aus Wörterbüchern zusammengesetzte Phrasen.

Was bedeutet das?

68 Bits bzw. 203,67 Bits Entropie sind sehr sicher! Zum Vergleich: Viele klassische Passwörter haben nur 30–40 Bits.

Ein Angreifer müsste im schlimmsten Fall alle möglichen Kombinationen ausprobieren – das sind so viele, dass es praktisch unmöglich ist, die Passphrase zu erraten.

Was bedeutet 203,67 Bits?

• Anzahl der möglichen Kombinationen:
  Eine 1 mit 61 Nullen – unvorstellbar viele Möglichkeiten

Die Sicherheit einer Passphrase hängt maßgeblich davon ab, wie die Wörter ausgewählt wurden und ob sie für Angreifer vorhersehbar sind.

Hier die wichtigsten Aspekte dazu:
Wörter erhöhen die Merkbarkeit – aber nicht immer die Sicherheit

• Werden die Wörter zufällig und unabhängig aus einer großen Wortliste gewählt, ist die Passphrase ziemlich sicher.
• Werden die Wörter jedoch nach einem Muster, aus bekannten Phrasen oder aus dem persönlichen Umfeld gewählt, kann ein Angreifer mit Wörterbuchangriffen die Passphrase gezielt erraten.

Einfluss von Zahlen und Sonderzeichen

• Durch das Hinzufügen von Zahlen und Sonderzeichen (wie „-37!“) steigt die Entropie leicht, aber der größte Sicherheitsgewinn entsteht durch die Anzahl und Zufälligkeit der Wörter.
• Zwei zufällige Zeichen zwischen den Wörtern können die Entropie einer 4-Wort-Passphrase auf das Niveau einer 5-Wort-Passphrase heben.

Praktische Sicherheit: Wörter versus Zeichen

• Zufälligkeit ist entscheidend: Wähle Wörter zufällig und nicht nach persönlichen Vorlieben oder bekannten Mustern.
• Mehr Wörter = mehr Sicherheit: Füge lieber ein weiteres zufälliges Wort hinzu, als nur Zeichen zu ersetzen.
• Kombiniere Wörter, Zahlen und Sonderzeichen: Das erhöht die Komplexität, aber die Hauptsicherheit kommt durch die Wortanzahl und deren Zufälligkeit.

Wie dieses Beispiel für Entropieberechnung zeigt:

Je länger und vielfältiger eine Passphrase gestaltet ist – desto höher ist ihre Sicherheit.