Die Mathematik der Passwortkomplexität
Ein beliebter Ausgangspunkt für das Erraten von Passwörtern sind immer Passwörter, die aus früheren Datenlecks bekannt sind. Als Beispiel wird häufig auf rockyou.txt verwiesen: eine Liste mit 14 Millionen Passwörtern, die 2009 bei der RockYou-Datenpanne bekannt wurden.
Wenn Ihr Passwort irgendwo auf dieser Liste steht, dauert es selbst bei 1000 Versuchen pro Sekunde höchstens 14’000 Sekunden (weniger als 4 Stunden), um Ihr Passwort zu finden. Das ist nicht gerade eine lange Zeit und das setzt bereits voraus, dass der Anbieter Ihres Passwort-Managers seine Hausaufgaben gemacht hat.
Da wir hier von Computern sprechen, ist der «richtige» Weg, grosse Zahlen durch Zweierpotenzen auszudrücken. Somit gilt also: Ein Passwort auf der RockYou-Liste hat weniger als 24 Bit Entropie, was bedeutet, dass es nach 224 (16'777'216) Versuchen mit Sicherheit gefunden wird. Jedes Bit Entropie (oder auch Informationsdichte), das dem Passwort hinzugefügt wird, führt zu einer Verdoppelung der Ratezeit.
Offensichtlich sind die RockYou-Passwörter zu simpel. Viele von ihnen würden nicht einmal von einem modernen Passwort-Manager als Haupt-Passwort akzeptiert werden. Wie wäre es mit einer Zeile aus einem Lied? Sollte diese nicht schon aufgrund ihrer Länge schwer zu erraten sein?
Jemand hat die Anzahl der verfügbaren Songphrasen auf 15 Milliarden berechnet (und wahrscheinlich überschätzt), so dass wir von höchstens 34 Bits Entropie sprechen. Dies würde die Zeit zum Erraten des Passworts auf ein halbes Jahr erhöhen.
Nicht schlecht könnte man also meinen. Wer nimmt sich denn schon ein halbes Jahr Zeit, um mein Passwort rauszufinden? Nur, die Liedzeile, die Sie wählen werden, wird nicht am Ende der Liste stehen. Das liegt schon daran, dass Sie nicht alle 30 Millionen Lieder kennen, die es gibt. Letztendlich sind es nur ein paar tausend Lieder, wovon Sie vernünftigerweise auswählen würden, und Ihr Geburtsdatum kann helfen, die Auswahl weiter einzugrenzen. Jeder Song hat nur ein paar Dutzend Phrasen, die Sie auswählen können. Wenn Sie Glück haben, kommen Sie auf diese Weise auf 20 Bits Entropie, also ungefähr 1 Million Versuche oder 17 Minuten bei 1000 Versuchen pro Sekunde, um das Passwort zu erraten.