Wir alle müssen wachsam sein, wenn es darum geht, mathematisch unüberwindbare Passwörter zu erstellen. Und wenn du zu den Hunderttausenden von Menschen gehörst, die Namen und Geburtsdaten in ihren Passwörtern verwenden(neues Fenster), dann ist es definitiv an der Zeit, die Sicherheit deiner Anmeldung zu verbessern.
In diesem Artikel erklären wir, wie du die Entropie deines Passworts abschätzen und verbessern kannst, was großartig für deine Sicherheit online ist. Aber es gibt einen Kompromiss: Die Entropie eines Passworts zu maximieren, bedeutet im Grunde, es für dich unmöglich zu machen, es dir zu merken. Wie immer gibt es einen XKCD-Comic(neues Fenster), der das Problem zusammenfasst.
Angesichts der vielen Online-Dienste, bei denen wir uns alle anmelden (mindestens Dutzende), ist es für den Durchschnittsnutzer fast unmöglich, sich für jeden Dienst ein starkes Passwort zu merken.
Deshalb empfehlen wir die Verwendung eines Passwort-Managers wie Proton Pass, der Passwörter mit extrem hoher Entropie generieren kann. Er merkt sie sich und führt ein automatisches Ausfüllen für dich durch.
Im Folgenden erklären wir, was Passwort-Entropie bedeutet, wie du sie berechnen kannst und wie sie die Stärke deines Passworts beeinflusst. Dies kann dir helfen, die sichersten Einstellungen in deinem Passwort-Manager auszuwählen (oder Anmeldungen bei Diensten zu vermeiden, die Passwörter mit sehr geringer Entropie erfordern).
Was bedeutet „Passwort-Entropie“?
Die Passwort-Entropie bezieht sich darauf, wie unvorhersehbar dein Passwort oder deine Passphrase ist, gemessen in Bits. Je mehr Bits an Entropie vorhanden sind, desto komplexer ist in der Regel ein Passwort und desto schwieriger ist es, Brute-Force-Angriffe zu durchbrechen.
Bei Brute-Force-Angriffen nutzen Angreifer das Ausprobieren, um Kombinationen von Zeichen in Anmeldedaten, Passwörtern und Verschlüsselungsdaten zu erraten.
Viele Hacker nutzen beispielsweise komplexe Skripte und Maschinen, um tausende Passwort-Vermutungen innerhalb weniger Minuten zu automatisieren. In einem der aufschlussreichsten Fälle verarbeiteten Forscher bis zu 350 Milliarden Passwort-Vermutungen(neues Fenster) pro Sekunde.
Angreifer nutzen Brute-Force-Angriffe, um schwache Passwörter schnell offenzulegen. Indem du die Entropie deiner Passwörter misst und priorisierst, kannst du dazu beitragen, dass diese Daten nicht in die falschen Hände gelangen.
Wie beeinflusst die Passwort-Entropie die Passwort-Stärke?
Mehrere Faktoren beeinflussen die Entropie eines Passworts und damit dessen Stärke. Du musst Folgendes bei deinem Passwort berücksichtigen:
- Länge (in Zeichen)
- Verwendung von Groß- und Kleinbuchstaben
- Verwendung von numerischen Zeichen
- Verwendung von Sonderzeichen
Von allen hier aufgeführten Elementen ist die Passwortlänge am wichtigsten. Eine ausreichend lange Passphrase wehrt fast jeden Brute-Force-Angriff ab. Und du kannst die Entropie weiter erhöhen, indem du zufällige Großbuchstaben, Sonderzeichen und Ziffern verwendest.
Die Entropie hängt jedoch nicht nur davon ab, wie lang oder komplex dein Passwort aussieht. Sie kann auch davon abhängen, wie es erstellt wurde. Eine wirklich zufällige Zeichenfolge hat eine viel höhere Entropie als ein gewöhnliches Wort oder ein Satz, selbst wenn beide die gleiche Länge haben.
Hacker können Wörterbuchangriffe nutzen, um deine Anmeldedaten zu erraten, wenn du ein erkennbares Wort oder einen gebräuchlichen Ausdruck in deinem Passwort verwendest.
Ein Angreifer, der Wörterbuchangriffe nutzt, automatisiert Brute-Force-Vermutungen mit jedem Wort aus einem Wörterbuch, das in einem Passwort verwendet werden könnte.
Unabhängig von der Entropie deines Passworts bist du daher immer noch dem Risiko eines Hacks ausgesetzt, wenn du in deinen Anmeldedetails Namen von Haustieren, Sportmannschaften oder andere häufig verwendete Passwörter (verwende z. B. niemals „Passwort“) nutzt.
Wie man die Passwort-Entropie berechnet
Wir erklären, wie man die Passwort-Entropie berechnet, aber es ist wichtig anzumerken, dass dies lediglich eine Demonstration ist. Du kannst die Entropie eines Passworts nicht sicher allein anhand seines Aussehens einschätzen. Von Menschen erstellte Passwörter – selbst lange – sind oft sehr vorhersehbar. Sofern es nicht mit einem Zufallsgenerator erstellt wurde, solltest du davon ausgehen, dass die Entropie geringer ist, als du denkst.
Unter der Annahme, dass du eine zufällige Zeichenfolge verwendest, wird die Passwort-Entropie in Bits gemessen und hängt von zwei Hauptfaktoren ab:
- Die Anzahl der Zeichen, die im für das Passwort gewählten Zeichenbereich verfügbar sind
- Die Anzahl der Zeichen im Passwort
Daher steigt die Passwort-Entropie, je länger dein Passwort ist und je breiter der mögliche Zeichenbereich ist. Ein langes Passwort, das Großbuchstaben, Kleinbuchstaben, Symbole und Zahlen verwendet, wie kmXz2=zs[m%7?y4A, weist eine sehr hohe Entropie auf.
Ein Passwort, das nur Kleinbuchstaben oder Zahlen verwendet, wie dzormybs oder 119022833, hat eine sehr geringe Entropie.
Passphrasen sind leichter zu merken, aber du musst vorsichtig sein. Sie müssen länger sein, um ein ähnliches Entropieniveau zu erreichen. Zum Beispiel sieht eine Passphrase wie HelpFidoSaveChocolate33! komplex aus, aber da sie vier gebräuchliche Wörter und eine vorhersehbare Zahlen-Symbol-Kombination am Ende verwendet, liegt ihre wahre Entropie möglicherweise näher bei 50 Bits. Das ist weit weniger als die Entropie von kmXz2=zs[m%7?y4A, obwohl sie acht Zeichen kürzer ist.
Was sind Bits an Entropie?
Bits an Entropie messen, wie schwierig es ist, ein Passwort zu knacken. Ein Passwort, das dir bereits bekannt ist, hat zum Beispiel null Bits.
Mithilfe einer Formel können wir berechnen, wie viele Entropie-Bits in einem Passwort enthalten sind und wie viele Vermutungen das Skript oder die Maschine eines Angreifers benötigen würde, um Zugriff zu erhalten.
Bevor wir jedoch die Passwort-Entropie berechnen können, müssen wir alle verschiedenen möglichen Zeichenbereiche messen.
Messen von Zeichenbereichen
Die folgende Tabelle zeigt, wie sich deine Zeichenoptionen erhöhen, wenn du verschiedene Zeichen in dein Passwort einfügst, sofern du auf Englisch schreibst. Die Anzahl der Buchstaben und Symbole kann je nach verwendeter Sprache variieren.
| Zeichentyp | Beispiel(e) | Größe des Bereichs |
| Zahlen | 0, 1, 2, 3 | 10 |
| Lateinische Buchstaben (Kleinbuchstaben) | a, b, c, d | 26 |
| Lateinische Buchstaben (Großbuchstaben) | A, B, C, D | 26 |
| Sonderzeichen | !, @, %, $ | 32 |
Je mehr Auswahl an potenziellen Zeichen du potenziellen Hackern gibst, desto höher wird deine Passwort-Entropie. Priorisiere daher einen möglichst breiten Zeichenbereich und verwende eine Mischung aus allen vier Typen.
Hier sind einige Beispielpasswörter und ihre gesamten Zeichenbereiche:
| Beispiel | Gesamtzeichenbereich |
| 112233 | 10 |
| abcde | 26 |
| a1b2c3d4 | 36 |
| a1B2c3D4 | 62 |
| a1!B2%c3^D4 | 94 |
Denk daran: Die obigen Daten zeigen dir die potenzielle Größe von Zeichenbereichen, nicht die Entropie-Bits. Wir müssen eine spezifische Formel verwenden, um die präzise Entropie von Passwörtern in Bits zu berechnen.
Passwort-Entropie-Formel
Du kannst die Entropie eines Passworts in Bits mit der folgenden Formel messen:
E = L × log2(R)
In dieser Formel:
- E ist deine Passwort-Entropie
- R ist der mögliche Bereich der Zeichentypen in deinem Passwort (siehe obige Tabellen)
- L ist die Anzahl der Zeichen in deinem Passwort (die Länge)
- Log2 beantwortet die Frage: „Mit welchem Exponenten muss 2 potenziert werden, um diese Zahl zu erhalten?“
Mithilfe dieser Formel zeigen wir dir hier, wie einige Beispiel-Passwörter in Bits abschneiden:
| Beispiel | Zeichenbereich | Passwortlänge | Berechnung | Entropie-Bits |
| fygwcbjnhsbh | 26 | 12 Zeichen | E = 12 x 4,7 | 56,4 |
| HzgNhHkY1WQ8AM | 62 | 14 Zeichen | E = 14 x 5,95 | 83,3 |
| kmXz2=zs[m%7?y4A | 94 | 16 Zeichen | E = 16 x 6,55 | 104,8 |
Die Mathematik zeigt uns: Je länger und komplexer ein Passwort ist, desto mehr Entropie-Bits hat es.
Denk daran: Diese Berechnungen gelten nur für zufällig generierte Passwörter. Passphrasen, die aus gängigen Wörtern bestehen, müssen länger sein und unübliche, zusammenhanglose Wörter (idealerweise auch Zahlen und Symbole) verwenden, um ein vergleichbares Sicherheitsniveau zu erreichen.
Und vergiss nicht: Diese Berechnungen dienen eher der Demonstration als der praktischen Anwendung. Du solltest dich auf Passwort-Generatoren verlassen, anstatt selbst zu versuchen, die Stärke eines Passworts zu berechnen.
Du kannst unseren kostenlosen Passwort-Generator nutzen, um zu experimentieren und zu sehen, wie stark verschiedene Passwörter sind.
Noch einmal: Entropie ist nur ein Maß für die Stärke. Um Wörterbuchangriffe zu vermeiden, solltest du keine häufig verwendeten Passwörter oder Phrasen wählen. Vermeide außerdem persönliche Daten wie dein Geburtsdatum, den Namen deines Haustiers oder deinen Straßennamen für dein Passwort, da Angreifer diese Informationen in Erfahrung bringen können.
Wann gilt ein Passwort als stark?
Im Allgemeinen erreicht ein starkes Passwort mit hoher Entropie mindestens 75 Bits. Alles mit weniger als 72 Bits ist für eine Maschine relativ leicht zu knacken.
Wir berechnen die maximale Anzahl potenzieller Ratestufen mit der Formel 2 ^ (Anzahl der Bits). Das ist die Anzahl der Verdoppelungen der Zahl 2, um die Gesamtzahl der Bits zu erreichen.
Ein Passwort mit 10 Bits Entropie würde beispielsweise mit 2 ^ 10 maximal 1.024 Ratestufen zum Knacken benötigen. Das ist typischerweise ein dreistelliges numerisches Passwort, wie 456.
Strebe eine Entropie von über 100 Bits an, um ein starkes Passwort zu erstellen – je höher, desto besser. Je höher die Entropie, desto mehr Zeit benötigen Maschinen für einen Brute-Force-Angriff, um das korrekte Passwort zu erraten.
Die Regeln für die Erstellung eines Passworts mit hoher Entropie unterscheiden sich je nach Sicherheitsexperten stark, aber auf ein paar allgemeine Regeln können wir uns einigen:
- Dein Passwort sollte mindestens 14 Zeichen lang sein und eine Mischung aus verschiedenen Zeichen enthalten (nicht nur Kleinbuchstaben aus dem lateinischen Alphabet)
- Du solltest keine Phrasen oder Begriffe verwenden, die für dich von Bedeutung sind (und daher leicht zu erraten sind)
- Ein starkes Passwort sollte nicht mit dem Benutzernamen in Verbindung stehen (betrachte beides immer als getrennte Einheiten)
- Es gibt eine Mischung aus mindestens einem Kleinbuchstaben, einem Großbuchstaben, einer Zahl und einem Sonderzeichen (zum Beispiel %, ^, *, &, @, ~, usw.)
Wir empfehlen außerdem die Verwendung einer Passwort-Blockliste, um zu vermeiden, dass Wörter oder Phrasen verwendet werden, die im Web häufig gewählt werden. Das Bad Passwords-Projekt des NIST(neues Fenster) ist beispielsweise ein beliebtes Open-Source-Tool zum Erstellen von Phrasen mit hoher Entropie.
Wenn du ein sicheres Administrator-Passwort für deinen Passwort-Manager erstellen möchtest, beachte die folgenden Richtlinien
Zusammenfassend lässt sich sagen, dass ein wirklich sicheres Passwort zum Beispiel Folgendes enthält:
- Mindestens ein Großbuchstabe
- Mindestens ein Kleinbuchstabe
- Mindestens ein Sonderzeichen
- Mindestens eine Ziffer
- Mindestens 14 Zeichen (oder mindestens 30 für Passphrasen, vorausgesetzt, die Wörter sind ungewöhnlich und stehen in keinem Zusammenhang)
Das obige Beispiel, kmXz2=zs[m%7?y4A, erfüllt alle diese Anforderungen und erzeugt ein Passwort mit etwa 105 Bit Entropie, für dessen Knacken durch Brute-Force eine unmöglich lange Zeit erforderlich wäre.
Erstelle starke Passwörter mit Proton Pass
Der einzige Weg, genug starke Passwörter für all deine Online-Konten zu generieren und sich zu merken, ist die Verwendung eines Passwort-Managers. Proton Pass generiert per Klick sichere Phrasen für dich. Du kannst damit 10-Wörter-Passphrasen oder 64-Zeichen-Zufallspasswörter erstellen. Zudem hast du die Kontrolle darüber, ob jedes Passwort Zahlen, Großbuchstaben und Sonderzeichen enthält, falls du die Entropie deiner Passwörter maximieren möchtest.
Mit Proton Pass sind deine Passwörter nicht nur schwer zu knacken – sie werden mit Ende-zu-Ende-Verschlüsselung gespeichert und durch eine sichere Zwei-Faktor-Authentifizierung über den weltweit sichersten kostenlosen Passwort-Manager abgesichert. Lies das Sicherheitsmodell von Proton Pass, um mehr zu erfahren.
Wenn dich das Thema Passwort-Entropie ratlos macht, registriere dich für Proton Pass. Wir helfen dir beim Generieren, Speichern und Absichern deiner Passwörter, damit sie böswilligen Angriffen standhalten.
Aktualisierung vom 18. November 2025: Dieser Artikel wurde aktualisiert, um die Probleme bei der Berechnung der Entropie von Passphrasen und Passwörtern im Allgemeinen klarer zu erläutern. Die Komplexität von Passwörtern wird leicht überschätzt, wenn sie nicht wirklich zufällig generiert wurden.
FAQ
Die Komplexität eines Passworts bezieht sich in der Regel auf den möglichen Zeichenbereich, während sich die Passwort-Entropie auf die mathematische Berechnung dahinter bezieht, wie schwer es zu erraten ist. Entropie wird in Bit gemessen, was wiederum angibt, wie viele Brute-Force-Versuche erforderlich sind, um ein Passwort zu knacken.
Das hängt davon ab, wie die Wörter ausgewählt wurden. Wenn sie zufällig gewählt wurden (zum Beispiel mithilfe einer Diceware-Liste), fügt jedes Wort etwa 12–13 Bit Entropie hinzu. Eine zufällige Passphrase aus vier Wörtern hätte also etwa 50–52 Bit Entropie. Wenn die Wörter jedoch von einem Menschen ausgewählt wurden, kann die Entropie deutlich niedriger sein.
128 Bit Entropie bedeuten, dass für ein Brute-Force-Knacken deines Passworts 2¹²⁸ Versuche erforderlich wären – das ist mehr als die Anzahl der Atome im Universum. Für praktische Zwecke ist alles über 100 Bit sicher. Selbst Passwörter mit 75–80 Bit gelten heute als resistent gegen alle bekannten Brute-Force-Angriffe.
