ComputerBase Menü
Aktuelles

Warum haben gleiche Passwörter eine unterschiedliche Entropy - kein Standard zur Berechnung?

AccountPasswort

AccountPasswort

Ensign
Registriert
Aug. 2015
Beiträge
252
Ich habe auf einer Webseite und in einer App die je gleichen fake Passwörter getestet und bekomme eine Entropy Differenz.

Used Password Komponente: 8 Stellen
  • lower caser
  • high case
  • 6 symbols like "¼"

1. Length: 8
Entropy: 105 bit (=excellent)
on Keepass

vs

2. Length: 8
Strength: Weak - Usually good enough for computer login passwords and to keep out the average person.
Entropy: 30.6 bits
Charset Size: 182 characters
on rumkin .com

vs

3. Length: 8
Weak
on Bitwarden

vs

4. Length: 8
Score 85%
cracked with Botnet or Super Computer; 2 seconds
https://www.antivirus.promo


---

Auch seltsam dass z.b. die "3" eine geringere bit-entropy bekommt als andere Zahlen in Keepass.
Nun, ja ich verstehe natürlich nicht komplett die Berechnung der sog. Entropy.
Ich weiß um die Länge der Passwörter und der rund:

  • 13 Stellen
  • A-Z
  • a-z
  • 0-9
  • Symbols
  • Komplexität
  • no Patterns

Ergo gibt es kein Standard zur Berechnung der Entropy?
 
Man kann, einem Passwort, nicht die Entropie ab lesen. Dazu, musst du wissen, wie es erzeugt worden ist.

Es gibt, auch ein schönen XKCD zum Thema... dort ist die Entropie angegeben, für zwei Arten Passwörter zu erzeugen. https://xkcd.com/936/

Das Passwort "correct horse battery staple" hätte demnach 44 Bits Entropie gehabt (durch die Veröffentlichung natürlich 0 Entropie). Weil das Wörterbuch 11 Bits pro Wort groß ist (2 ^ 11 = 2048 Wörter). Aber man könnte 4 Wörter auch aus einem größeren Wörterbuch heraus erzeugen (2 ^ 12 = 4096 oder 2^13 = 8192) und dann wäre auch die Entropie, wieder etwas höher ( 52 statt 44 Bit Entropie)

Aber einfach einem Programm ein fertiges Passwort hin zu setzen wie soll das wissen wie groß das Wörter Buch ist? Mit welchem Algorithmus, es erzeugt worden ist?

Da kann man nur Raten und da kommt dann dem entsprechend nur Müll heraus

Die Entropie muss also, wenn, vom Passwort Generator angezeigt werden nur der weiß wirklich wieviele Möglichkeiten es gibt
 
Zuletzt bearbeitet:
Die Entropie hängt auch davon ab wie groß der Pool der möglichen Zeichen ist.
"password" hat eine geringe Entropie als "Password" wenn man davon ausgeht, daß im ersten Fall der Pool nur 26 Zeichen umfasst vs 52 beim zweiten.
Schau dir mal das hier an: https://blog.wuermkanal.de/was-ist-ein-sicheres-passwort/ (ist relativ weit unten)

Google Suchbegriff : passwort Entropie "Shannon"
 
Am Ende des Tages ist der Begriff vermutlich nicht streng geschützt, und jeder legt seine eigene Berechnung zu Grunde, so kommen unterschiedliche Werte, die Frage wie lange Brute force hält, hängt auch von der Hardware ab, und da legen auch manche unterschiedliche Werte zugrunde
 
Und auch mit der Besten Entropie kann man einfach Pech haben

Wenn der Brute Force die Passwörter von aaaaa, aaaab, aaaac ... bis zzzzzx, zzzzzy, zzzzzz durch ginge dann wäre zzzzzzz das sicherste Passwort einfach weil es als letztes über haupt versucht wird

Aber davon, kann man nicht aus gehen. Besten Falls kennt der Brute Forcer den Algorithmus des erzeugten Passworts und geht die dann in Zufällig Reihenfolge durch in der Hoffnung auf ein Random Early Hit

Lottospieler tippen bei jeder Ziehung ja auch auf Entropie, 27 Bit Entropie (1 zu 140 Mio) und der Gewinner, der knackt den Jack Pot. Schafft natürlich nicht jeder, jedes Mal daher gibts ja überhaupt, den Jackpot der Wochen Monate Lang nicht geknackt wird.

Aber kann eben trotzdem Passieren und das ist dann Zufall.

Also 27 Bit Entropie ist zu wenig auch wenn der Lotto Gewinn sehr unwahrscheinlich nicht unmöglich

Jedes Bit mehr verdoppelt die Sicherheit

44 Bit ist schon ziemlich gut aber kommt eben auch darauf an, ob die Anzahl Versuche, Pro Sekunde, begrenzt ist, für Festplatten Verschlüsselung reicht es nicht. Für die Bank die nach 5 Fehl Versuchen eh alles sperrt, reicht es locker
 
DFFVB schrieb:
Am Ende des Tages ist der Begriff vermutlich nicht streng geschützt, und jeder legt seine eigene Berechnung zu Grunde
Zum Vergrößern anklicken....
jain, du hast schon recht, in diesem Zusammenhang
und genau darum geht es. "Entropie" aus der Thermodynamik "geborgt" und ist dort natürlich klar definiert, nur im Zusammenhang mit Passworten halt nicht

nehmen wir ein ganz blödes Beispiel einer zweistelligen Pin. Klar wird jedes Programm da "Schnapszahlen" unsicherer einstufen als "normale".
Aber was ist mit 42?
da werden Nerds doch sagen: "wie kann man denn die Antwort auf die Frage nach dem Leben, dem Universum und dem ganzen Rest" als Pin verwenden.
und ein Motorrad Freak fragt sich: "42? das ist doch ein Tippfehler, du meinst 46 kann nicht nehmen?!?"
vielleicht ist die 44 dann doch die sicherste Zahl in diesem Bereich? ;)
 
Aus dem Artikel den ich oben verlinkt habe

".. die fragliche Entropie befasst sich hier nicht mit der Thermodynamik. Vielmehr ist sie ein Maß für die durchschnittliche Menge an Information, die in einer Nachricht enthalten ist.
Im Grunde ist die (sogenannte Shannon-) Entropie einer Zeichenkette die Anzahl der Bits, die man zur Kodierung benötigt."

Die Formel dafür ist dort auch zu finden
 
Womöglich ist Entropie zwar ein klug und fachlich klingender Begriff, aber gar nicht das für ein Passwort relevante Maß und ein allgemeinerer Begriff wie "Passwortstärke" o.ä. wäre angemessener.
 
@BeBur
Die Entropie ist schon eine gute Abschätzung
trotzdem ist natürlich 'diart' besser als 'super' auch wenn die Entropie gleich ist
 
cloudman schrieb:
Aus dem Artikel den ich oben verlinkt habe

".. die fragliche Entropie befasst sich hier nicht mit der Thermodynamik.
Zum Vergrößern anklicken....
genau was ich gesagt habe, der Begriff ist aus der Thermodynamik "geborgt" weil er toll klingt, wird hier aber anders verwendet.
cloudman schrieb:
Vielmehr ist sie ein Maß für die durchschnittliche Menge an Information, die in einer Nachricht enthalten ist.
Zum Vergrößern anklicken....
und hier kann man die "Menge an Information" nicht rein mathematisch sehen, bzw. sollte es nicht!
nehmen wir dein eigenes Beispiel: wie sagst du noch so "provokant", natürlich ist diart besser als super?
das hängt wohl stark vom eigenen Namen ab. Wenn jemand Diart mit Vornamen heißt, dann ist das wohl ein sehr dummes Passwort, oder?
diese mathematischen Formeln sind erstens nicht genormt und zweitens bezieht jeder da andere "Rahmenbedingungen" mit ein.

cloudman schrieb:
Die Formel dafür ist dort auch zu finden
Zum Vergrößern anklicken....
s.o.
 
@Mickey Mouse
OK mag sein diart war für mich ein Beispiel das nicht in Wörterbucher sein sollte. Klar wenn man diart heißt ist es eine schlechte Idee.

Entropie in der Informatik wurde durch Shannon eingeführt
https://de.m.wikipedia.org/wiki/Entropie_(Informationstheorie)

Wenn man weiß wie groß der Pool der verwendeten Zeichen ist, kann man sie exakt berechnen.

Sie ist aber nur ein Kriterium wie du schön erläutert hast und sich nur darauf zu verlassen wäre falsch.

Egal ich glaube wir haben ein ähnliches Verständnis und ich wollte nur ein bisschen klugscheißen😀
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Arc Angeling
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz