Das Passwort "123456" wurde 2017 am häufigsten genutzt

[Nasenbaer42]

Menschen erstellen ja selten wirklich zufällige Passwörter.

Angenommen, der verfügbare Zeichensatz enthält 95 verschiedene Klein-, Großbuchstaben, Ziffern, Satz- und Sonderzeichen.

Wie hoch ist die Entropie des Passworts "abcd12345678"?

Habe leider erst jetzt mitbekommen, dass jemand geantwortet hat. Ich schreib trotzdem mal auch wenn es schon etwas älter ist.
Was ich über Entropie geschrieben habe stimmt so nicht wirklich. Die Entropie lässt sich nur berechnen wenn Zeichen wirklich zufällig gewählt werden aber das tun Menschen ja offensichtlich nicht. Für dein Beispiel wäre die Entropie also hoch aber das Passwort wäre in Sekunden geknackt. Besser ist es bei der Bewertung eines Passwortes zu berücksichtigen wie Passwörter geknackt/erraten werden. Beispielsweise muss L33tspeak und andere häufige Ersetzungen berücksichtigt werden. Sprich diese Ersetzungen machen das PW nicht besser. In KeePass ist ein recht aufwändiger Algorithmus zur Berechnung der Güte eines PW integriert. Er berücksichtigt häufige PWs, typische Ersetzungen, sich wiederholende Sequenzen etc.: https://keepass.info/help/kb/pw_quality_est.html

Soetwas sollte genutzt werden um ein gute PW zu wählen.
Dennoch sollte man nicht vorschreiben, welche Zeichenkategorien vorkommen müssen (z.B. min 1 Sonderzeichen), da dieses Wissen auch die Angreifer haben und dann alle PWs ohne Sonderzeichen nicht testen brauchen. Das spart natürlich viele Kombinationen ein und macht Brute-Force und Guessing Angriffe viel leichter.

 

[pcg-veteran]

Dennoch sollte man nicht vorschreiben, welche Zeichenkategorien vorkommen müssen (z.B. min 1 Sonderzeichen), da dieses Wissen auch die Angreifer haben und dann alle PWs ohne Sonderzeichen nicht testen brauchen. Das spart natürlich viele Kombinationen ein und macht Brute-Force und Guessing Angriffe viel leichter.

Natürlich verkleinert sich die theoretische Anzahl möglicher Passwörter durch eine solche Nebenbedingung. Da aber die meisten Menschen ihre Passwörter nicht zufällig generieren, kann die in der Praxis relevante Menge der zu testenden Passwörter durch Nebenbedingungen stark zunehmen, besonders in der Gruppe der Menschen, die gerne "abcdabcd" als Passwort verwenden. Zusätzlich könnte man die Mindestlänge des Passworts für jede Nebenbedingung um eins erhöhen, um diesen Nachteil auszugleichen.

Bsp. :
Passwort 1 Zeichen aus Klein+Großbuchstaben. Theoretisch 52, Praktisch eher 26 weil Leute gerne klein schreiben
Passwort 2 Zeichen aus Klein+Großbuchstaben. Theoretisch 52^2, Praktisch eher 26^2 weil Leute gerne klein schreiben
Passwort 2 Zeichen mit Zwang für Klein+Großbuchstaben. 2 x 26^2 -> 52^2 > 2 x 26^2 > 26^2
(2 = Permutations-Faktor, 2 Möglichkeiten : KleinGroß und GroßKlein)

Bsp. :
Passwort 8 Zeichen ohne Zwang aus Klein+Großbuchstaben. Theoretisch 52^8, Praktisch eher 26^8 weil Leute gerne klein schreiben
Passwort 10 Zeichen mit Zwang für Klein+Großbuchstaben. ca. 26^2 x 52^8 > 52^8 > 26^8. (Permutationen der Platzierung nicht berücksichtigt)

Bsp. :
Passwort 8 Zeichen ohne Zwang. Theoretisch 95^8, Praktisch 26^8 weil Leute ungerne Sonderzeichen etc. verwenden
Passwort 12 Zeichen mit Zwang für Klein+Groß+Ziffer+Sonderzeichen : ca. 26^2 x 10 x 33 x 95^8 > 95^8 > 26^8 (Permutationen der Platzierung nicht berücksichtigt)

(Berücksichtigt man die Permutationen, also die Fälle wenn zB ein Sonderzeichen als 1., 2., 3, ... oder 11. Zeichen kommt, werden die Zahlen noch etwas größer und die Formeln komplizierter.)