Passwort und Entropie: Die Wissenschaft hinter Ihrer Sicherheit

Wed, 03 Jun 2026 00:00:00 +0000

« Ihr Passwort muss 8 Zeichen lang sein und einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen enthalten. »

Wir alle kennen diese Regel. Und doch nennt man dies in der Cybersicherheit “Sicherheitstheater”. Ein Passwort wie P@ssw0rd1! erfüllt all diese Regeln, wird aber von moderner Hacking-Software im Handumdrehen geknackt.

Wahre Sicherheit beruht nicht auf willkürlichen visuellen Regeln, sondern auf einer unerbittlichen mathematischen Realität: der Entropie.

Entropie nach Claude Shannon

Um die Stärke eines Passworts zu verstehen, müssen wir uns an Claude Shannon wenden, den Vater der Informationstheorie. Die Entropie misst den Grad der Unsicherheit oder Unvorhersehbarkeit einer Information.

Auf Passwörter angewandt, wird die Entropie in Bits berechnet. Je höher die Anzahl der Bits, desto unvorhersehbarer ist das Passwort für einen Computer. Die vereinfachte Formel für die Entropie (E) eines zufällig generierten Passworts lautet:

E = L × log2(R)

L ist die Länge des Passworts.
R ist die Größe des Zeichenpools (26 für Kleinbuchstaben, 62 mit Großbuchstaben und Zahlen, 94 mit Symbolen).

Die Vergrößerung des Zeichenpools (Hinzufügen von Symbolen) erhöht die Entropie, aber die Erhöhung der Länge (Hinzufügen von Zeichen) erhöht sie weitaus drastischer. Die Länge schlägt die Komplexität jedoch nur unter einer Bedingung: dass das Passwort völlig zufällig generiert wird.

Brute-Force vs. Wörterbuchangriff

Wenn Sie Wörter oder vorhersehbare Strukturen verwenden, bricht die Regel der reinen Länge in sich zusammen.

Hacking-Software probiert nicht alle Buchstabenkombinationen einzeln durch (das nennt man Brute-Force). Sie verwendet riesige Datenbanken mit Milliarden existierender Wörter, gängiger Phrasen und früheren Datenlecks. Das ist der Wörterbuchangriff.

Wenn Ihr Passwort lang ist, aber aus Wörtern aus dem Wörterbuch oder vorhersehbaren Ersetzungen besteht, ist seine tatsächliche Entropie dramatisch geringer als seine theoretische mathematische Entropie.

Hier sind die geschätzten Cracking-Zeiten gegenüber einem Cluster moderner Grafikkarten (GPU), wobei der schnellste Weg, der strukturelle Schwächen ausnutzt, fett gedruckt ist:

Passwort	Theoretische Entropie	Gegen Brute-Force	Gegen ein Wörterbuch
`password123`	~15 Bits	Einige Stunden	Sofort
`S3cr3t!99`	~40 Bits	Einige Jahre	Einige Stunden / Tage (via Mutationen)
`correct horse battery staple`	~130 Bits	Milliarden Jahre	Einige Stunden / Tage
`gL7!pQ9z#vX2`	~78 Bits	~3 000 Jahre	Fehlschlag (Zurück zu Brute-Force)

Die Illusion von Leetspeak und Mutationsregeln

Nehmen wir das Beispiel S3cr3t!99. Optisch scheint es komplex und robust. Dennoch ist es einfach das Wörterbuchwort “secret”, bei dem die ’e’ durch ‘3’ ersetzt wurden, an das ein sehr häufiges Suffix angehängt wurde (!99). Das nennt man Leetspeak.

Gegen einen Wörterbuchangriff wird dieses Passwort nur wenige Stunden oder sogar Minuten halten. Moderne Cracking-Software (wie Hashcat) begnügt sich nicht damit, statische Wortlisten zu testen; sie wendet automatisch Mutationsregeln an. Sie nehmen jedes Wort aus ihrem Wörterbuch, testen alle möglichen Leetspeak-Kombinationen, drehen die Großbuchstaben um und hängen Jahre oder Symbole an. Leetspeak bietet ein falsches Gefühl von Sicherheit.

Der Tastaturverschiebungs-Trick (Keyboard Shift)

Um eine einprägsame Phrase komplexer zu machen, verwenden einige den Trick der Tastaturverschiebung. Sie merken sich zum Beispiel eine Phrase wie my-cat. Aber in dem Moment, in dem Sie es tippen, legen Sie Ihre Finger auf eine physische QWERTZ-Tastatur (Deutsch), während Sie Ihr Betriebssystem auf QWERTY (Englisch) konfiguriert haben.

Das gedachte Wort: my-cat
Das getippte Ergebnis: mz/cat (Die Taste ‘y’ wird zu ‘z’ und das ‘-’ wird zu ‘/’).

Ist das eine gute Idee in OPSEC? Nein, diese Methode reicht nicht aus, wenn sie allein angewendet wird. Genau wie bei Leetspeak integriert fortschrittliche Cracking-Software Hardware-Mutationsregeln, die automatisch internationale Tastaturverschiebungen (QWERTY, AZERTY, QWERTZ, Dvorak) testen. In OPSEC ist dies Sicherheit durch Unklarheit: Es verzögert einen Amateurangreifer, stoppt aber keinen gezielten und gut ausgerüsteten Angriff.

Wenn diese Technik jedoch mit einem an der Basis bereits starken Passwort gekoppelt wird (wie einer sehr langen, einprägsamen Passphrase), erhöht sie die Entropie noch einmal signifikant, indem sie unerwartete Sonderzeichen in eine bereits robuste Struktur einführt.

Die Konstruktion des idealen Passworts (~250 Bits)

Wenn Wortlisten, Leetspeak und Tipptricks ihre Grenzen haben, wie konstruieren wir dann das perfekte Master-Passwort? Um optimale Sicherheit zu erreichen und Computertools der neuen Generation zu widerstehen, ist das aktuelle Ziel, etwa 250 Bits Entropie anzustreben.

Es gibt zwei Möglichkeiten, dies je nach Ihren Bedürfnissen zu erreichen:

1. Die rein zufällige Option (Ideal für einen Passwort-Manager)

Eine völlig zufällig generierte Zeichenfolge, was es für eine Maschine extrem schwierig macht, sie zu erraten: k9$Yz2!pL#8vQx5@mN7*jW4&hC1%bF3^tR9(dZ6 39 zufällige Zeichen, die das gesamte Symbolrepertoire nutzen.

2. Die hybride Passphrase-Option (Ideal für ein einprägsames Master-Passwort)

Eine Folge von zufällig generierten Wörterbuchwörtern, strikt kombiniert mit Zahlen und Symbolen: Sovereign_Crypto_99_Privacy_Zero_Knowledge_Secure_2026_Key_Lock_Cloud_Act_Grover Diese Methode ermöglicht es einem Menschen, sich eine Struktur visuell oder muskulär einzuprägen, während eine gigantische mathematische Barriere aufrechterhalten wird.

Die Quantenbedrohung: Grovers Algorithmus

Warum 250 Bits anstreben, wenn 128 Bits bereits heute Supercomputer blockieren? Die Antwort liegt im Aufkommen des Quantencomputings.

In der Kryptographie ermöglicht Grovers Algorithmus einem Quantencomputer, eine unsortierte Datenbank viel schneller zu durchsuchen als ein klassischer Computer. Konkret halbiert Grover das effektive Sicherheitsniveau eines symmetrischen Schlüssels oder eines Passworts.

Gegenüber einem Quantencomputer, der Grovers Algorithmus ausführt, bietet ein Passwort mit einer Entropie von 128 Bits nur einen Widerstand, der 64 Bits entspricht (was knackbar wird).

Folglich ist es zur Aufrechterhaltung echter 128-Bit-Sicherheit in einer Post-Quanten-Welt notwendig, die anfängliche Entropie zu verdoppeln. Dies ist eine der Säulen des Konzepts Harvest Now, Decrypt Later (HNDL): Staatliche Angreifer saugen heute verschlüsselte Daten auf, um sie morgen zu knacken. Das Anvisieren von 250 Bits Entropie ist der Mindeststandard, um Ihre Master-Schlüssel langfristig zu schützen.

Arpokrat Password Generator: Testen Sie selbst

Überlassen Sie die Sicherheit Ihrer Zugänge nicht dem Zufall. Wir haben ein internes Tool entwickelt, mit dem Sie kryptografisch robuste Passwörter (einschließlich Post-Quanten-Passwörter) generieren und vor allem die wahre Entropie Ihrer eigenen Passwörter bewerten können.

👉 Arpokrat Password Generator

Testen Sie Ihre aktuellen Passwörter, um zu sehen, ob sie moderner Rechenleistung standhalten würden. Das Tool funktioniert 100% lokal in Ihrem Browser, es zirkulieren keine Daten im Netzwerk.

Das letzte schwache Glied: Recycling und Zugriffsverwaltung

Die mathematische Entropie schützt nicht vor menschlichen Fehlern. Ein 250-Bit-Passwort ist nutzlos, wenn es auf mehreren Websites wiederverwendet wird (ein Angriff, der Credential Stuffing genannt wird) oder wenn es nicht durch einen zweiten Authentifizierungsfaktor (2FA) geschützt ist.

Die goldene Regel der digitalen Hygiene lautet, sich nur ein einziges Passwort merken zu müssen: Ihr 250-Bit-Master-Passwort (in Form einer hybriden Passphrase). Alle Ihre anderen Zugänge (Bank, soziale Netzwerke, Server) müssen eindeutige Passwörter mit 250 Bits reiner Entropie (die zufälligen Zeichenfolgen) verwenden, die speziell für sie generiert wurden.

Um dieses Volumen an Schlüsseln, die unmöglich im Kopf zu behalten sind, zu speichern und zu verwalten, ist die Verwendung eines Zero-Knowledge Passwort-Managers unerlässlich. Einer der besten aktuellen Standards ist Proton Pass. Mit Sitz in der Schweiz, Open-Source und Ende-zu-Ende-verschlüsselt, garantiert er, dass nicht einmal seine eigenen Ingenieure den Inhalt Ihres Tresors lesen können. Es ist der ideale Begleiter zur Speicherung der von Arpokrat generierten ultrastarken Schlüssel und verriegelt Ihr gesamtes digitales Leben hinter einer wahren mathematischen Barriere.

Entropie on Arpokrat