Zufallsgenerierte Passwörter vs. Passphrase-Methode
Passwörter sind der erste Schutzmechanismus gegen unbefugten Zugriff auf ein Benutzerkonto. Dennoch verwenden viele Nutzer unsichere Passwörter oder gehen nachlässig mit ihnen um. Ein unsicheres Passwort kann leicht erraten oder mit einfachen Methoden geknackt werden.
Häufige Fehler sind die Verwendung leicht zu erratender Passwörter wie „123456“ oder „password“ sowie die Wiederverwendung desselben Passworts für mehrere Konten. Dies macht sie zu einem leichten Ziel für Cyberkriminelle. Um Passwörter zu knacken, nutzen Kriminelle eine Vielzahl von Techniken. Eine davon ist der Brute-Force-Angriff, bei dem systematisch alle möglichen Kombinationen durchprobiert werden, bis das richtige Passwort gefunden ist. Eine spezielle Form des Brute-Force-Angriffs sind die Wörterbuchangriffe. Dabei werden häufig verwendete Passwörter und gängige Wörter aus Wörterbüchern ausprobiert, um das Passwort zu erraten.
Eine weitere Methode, um an Kennwörter zu gelangen, ist das Phishing. Dabei werden Nutzer durch gefälschte E-Mails oder Webseiten dazu gebracht, ihre Passwörter preiszugeben. Ebenso können Datenlecks in Unternehmen dazu führen, dass grosse Mengen an Passwörtern in die Hände von Kriminellen gelangen. Diese Methoden werden an dieser Stelle nicht behandelt, da die Sicherheit der Kennwörter in diesen Fällen eine geringere Rolle spielt.
Der Fokus liegt stattdessen auf der Frage, wie Passwörter sicher erstellt werden können und dem Handling.
Zufallsgenerierte Passwörter vs. Passphrase-Methode
Beide Methoden haben Vor- und Nachteile, je nach Einsatzzweck.
Hier ist eine grobe Übersicht mit den Unterschieden:
| Eigenschaft | Zufallsgeneriertes Passwort | Passphrase-Methode | |
|---|---|---|---|
| Sicherheit | Sehr hoch | Hoch | |
| Merkbarkeit | Schwer zu merken | Leichter zu merken | |
| Ideale Länge | Meist 12–20 Zeichen | 20+ Zeichen | |
| Nutzung | Ideal für Passwortmanager | Geeignet für manuelle Eingabe | |
| Beispiel | z05S$!s!sTDeVU | Grievous4-Universal5-Chill0-Envelope1 |
Zu welchem Zeitpunkt ist es empfehlenswert, ein zufallsgeneriertes Passwort zu wählen?
Zufallsgenerierte Passwörter bieten den höchsten Sicherheitsstandard, da sie aus einer zufälligen Kombination von Zeichen bestehen und somit schwer zu erraten oder zu knacken sind. Sie sind ideal, wenn Sie einen Passwortmanager nutzen, der das Passwort für Sie speichert und automatisch ausfüllt. Diese Passwörter bieten maximale Sicherheit und eignen sich insbesondere für kritische Konten, bei denen höchste Sicherheitsanforderungen bestehen.
Wann ist eine Passphrase sinnvoll?
Eine Passphrase ist sinnvoll, wenn das Passwort vom Nutzer selbst gemerkt und/oder eingegeben werden muss. Passphrasen sind besonders geeignet für Konten, die häufig eingegeben werden oder an andere Personen übermittelt werden müssen. Passphrasen, die aus einer Kombination von zufälligen Wörtern bestehen, sind leichter zu merken und dennoch sicher.
Entropie-Vergleich: Wie sicher sind die Methoden?
Die Entropie eines Passworts ist ein Mass dafür, wie unvorhersehbar oder zufällig es ist – je höher die Entropie, desto schwieriger ist es für einen Angreifer, das Passwort durch Raten oder systematisches Ausprobieren (Brute-Force-Angriffe) zu erraten.
Die Empfehlungen für die Entropie basieren auf der Einschätzung, wie widerstandsfähig ein Passwort gegenüber automatisierten Brute-Force- und Wörterbuchangriffen ist. Entropie – gemessen in Bits – beschreibt die theoretische Anzahl möglicher Kombinationen und dient als Mass für die Zufälligkeit eines Passworts. Je mehr Entropie ein Passwort besitzt, desto weniger anfällig ist es für gezielte Angriffe.
Sicherheitsorganisationen wie das NIST, OWASP, die EFF sowie zahlreiche Kryptografie-Experten empfehlen unterschiedliche Mindestwerte, abhängig vom Einsatzzweck. Für gängige Nutzerkonten gelten in der Praxis 60 bis 80 Bits Entropie als ausreichend. Für besonders schützenswerte Systeme, wie etwa administrative Zugänge, kritische Infrastrukturen oder verschlüsselte Backups, wird ein Entropiewert von 90 Bits oder mehr empfohlen. In der Kryptografie gelten 128 Bits als sicher für symmetrische Schlüssel wie AES. Für Benutzerpasswörter sind diese jedoch oft überdimensioniert.
Für die praktische Sicherheit eines Passworts sind jedoch nicht nur Länge und Zeichenvorrat entscheidend, sondern auch, ob es zufällig generiert wurde oder auf vorhersehbaren Mustern basiert. Als besonders sicher gelten zufällige Passphrasen (z. B. mithilfe der Diceware-Methode) oder lange, computergenerierte Zeichenfolgen – idealerweise in Kombination mit einem Passwortmanager und einer Mehr-Faktor-Authentifizierung (MFA).
Zufallsgenerierte Passwörter
| Methode | Länge | Entropie (Bits) | Sicherheit vs. Merkbarkeit |
|---|---|---|---|
| 10 Zeichen, zufällig, alle Zeichenklassen | 10 Zeichen | 65.5 | Mittlere Sicherheit, schwer zu merken |
| 12 Zeichen, zufällig, alle Zeichenklassen | 12 Zeichen | 78.7 | Gute Sicherheit, schwer zu merken |
| 16 Zeichen, zufällig, alle Zeichenklassen | 16 Zeichen | 104.5 | Hohe Sicherheit, schwer zu merken |
Beispiel für die Entropie-Berechnung
Ein zufällig generiertes Passwort mit 16 Zeichen, das Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen enthält, nutzt einen Zeichensatz von ca. 94 Zeichen. Die Entropie wird wie folgt berechnet:
Entropie = ≈ log2(9416) = 104.5 Bits
Passphrase-Methode
| Methode | Länge | Entropie (Bits) | Sicherheit vs. Merkbarkeit |
|---|---|---|---|
| 4-Wort-Passphrase (Diceware) | 4 Wörter | 51.7 | Mittlere Sicherheit, gut merkbar |
| 6-Wort-Passphrase (Diceware) | 6 Wörter | 77.5 | Gute Sicherheit, immer noch gut merkbar |
Beispiel für die Entropie-Berechnung
Eine 4-Wort-Passphrase mit zufälligen Wörtern aus einer Diceware-Liste (7776 Wörter) hat folgende Entropie:
Entropie = ≈ log2(77764) = 51.7 Bits
Passphrase-Methode inkl. Zahl
| Methode | Länge | Entropie (Bits) | Sicherheit vs. Merkbarkeit |
|---|---|---|---|
| 4-Wort-Passphrase (Diceware inkl. Zahlen am Ende des Wortes) | 4 | 65 | Mittlere Sicherheit, leicht merkbar |
| 6-Wort-Passphrase (Diceware inkl. Zahlen am Ende des Wortes) | 6 | 97.5 | Gute bis hohe Sicherheit, immer noch gut merkbar |
Beispiel für die Entropie-Berechnung
Eine 4-Wort-Passphrase mit zufälligen Wörtern aus einer Diceware-Liste (7776 Wörter) und jeweils einer Zahl am Ende hat folgende Entropie:
Entropie Wörter = ≈ log2(77764) = 51.7 Bits
Entropie Zahlen = ≈ log2(104) = 13.2 Bits
51.7 Bits (Entropie Wörter) + 13.2 Bits (Entropie Zahlen) = 64.8 Bits
Fazit
Zufallsgenerierte Passwörter bieten durch ihre hohe Entropie maximale Sicherheit, sind jedoch in der Praxis nur sinnvoll nutzbar, wenn ein Passwortmanager zum Einsatz kommt. Passphrasen hingegen sind leichter zu merken und bei ausreichender Länge und Zufälligkeit ebenfalls sehr sicher. Welche Methode besser geeignet ist, hängt vom Einsatzzweck ab: Für Konten, die über einen Passwortmanager verwaltet werden, sind Zufallspasswörter ideal, während sich Passphrasen für Passwörter eignen, die regelmässig manuell eingegeben werden müssen – etwa das Master-Passwort. Entscheidend für die praktische Sicherheit ist nicht nur die Länge oder der Zeichenvorrat eines Passworts, sondern vor allem dessen Unvorhersehbarkeit. Besonders sicher sind daher zufällig generierte Passphrasen (z. B. mit der Diceware-Methode) oder lange, computergenerierte Zeichenfolgen – im Idealfall kombiniert mit einem Passwortmanager und Mehr-Faktor-Authentifizierung (MFA).
Quellen
EFF Creating Strong Passwords
https://ssd.eff.org/en/module/creating-strong-passwords
NIST Cryptographic Algorithm Validation Program
https://csrc.nist.gov/projects/cryptographic-algorithm-validation-program/block-ciphers
OWASP Authentication Cheat Sheet
https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet
The Diceware Passphrase
https://theworld.com/~reinhold/diceware.html
NIST Special Publication 800-63B
https://pages.nist.gov/800-63-3/sp800-63b.html
NIST Advanced Encryption Standard (AES)
https://csrc.nist.gov/publications/detail/fips/197/final
Informationen zum Autor: Marius Hamborgstrøm
Im Jahre 2014 ist es mir gelungen goSecurity von meinem Talent zu überzeugen. Als Experte für Penetration Tests konnte ich schon viele Schwachstellen aufdecken, bevor dies einem Hacker gelungen ist. Zudem bin ich für die Gestaltung und die Durchführung unserer goTraining-Kurse Hack to PROTECT (H2P), Hack to PROTECT [ADVANCED] (H2PA) und Windows Server Hardening (WSH) verantwortlich. Durch meine jahrelange Erfahrung als IT-Leiter einer mittelständischen Bank, kenne ich auch die Seite des Administrators und des IT-Managers in einer Umgebung mit hohen Sicherheitsanforderungen. Aus dieser Erfahrungskiste kann ich die Anforderungen unserer Kunden auch bei Audits und umfassenden Beratungen schnell verstehen und Sie zielgerichtet und praxisnah beraten. Jede Sicherheitslücke bei Ihnen zu finden, bevor dies jemand anderem gelingt, ist leider nicht immer realistisch. Und dennoch ist es mein Antrieb und mein Anspruch.