Im Mathematikunterricht hatten wir die Möglichkeit ein eigenes Projekt zu realisieren. Es musste ein Modellierungsprojekt sein und das Ziel war, einen Sachverhalt anhand von Daten zu untersuchen. Zur Realisierung mussten wir die Daten beschaffen, sie auswerten und schliesslich darstellen. Ich untersuchte den Zusammenhang zwischen der Entropie von Passwörtern und ihrer Länge.
Entropie ist ein Maß für die Ungewissheit oder den Informationsgehalt in einem System. Sie wurde von Claude Shannon eingeführt und quantifiziert, wie viel Überraschung oder Unsicherheit mit einem zufälligen Ereignis verbunden ist. In der Informationstheorie beschreibt die Entropie die Anzahl von Bits, die benötigt werden, um die Information zu kodieren. Ein höherer Entropiewert eines Passworts bedeutet, dass die Vorhersage oder das Erraten des Passworts schwieriger ist, weil die Ungewissheit über die verwendeten Zeichen grösser ist. Umgekehrt bedeutet eine niedrige Entropie, dass weniger Unsicherheit besteht und das Erraten einfacher ist.
Um meinen Sachverhalt zu analysieren, schrieb ich ein kurzes Python Programm, das mir jeweils 10 Passwörter mit den Längen von 1 bis 30 generierte. Danach liess ich mir die Entropie dieser Passwörter von passwortcheck.ch berechnen. Die Passwortprüfung mit diesem Tool berücksichtigt zur Berechnung der Entropie auch das Vorkommen von Wörtern, speziellen Zahlenfolgen und Zeichenfolgen auf der Tastatur. Weil meine Passwörter zufallsgeneriert waren, war die Komplexität maximal und die Länge des Passworts stellte den ausschlaggebenden Faktor für die resultierende Entropie dar. Um die gewonnenen Daten darzustellen und auszuwerten, habe ich den Durchschnitt der Entropien von Passwörtern mit gleicher Länge berechnet. So entstanden Werte in Bits für die Durchschnittsentropie für Passwörter von den Längen 1 bis 30.
Mein Resultat für den Zusammenhang zwischen Entropie und Länge eines Passworts war eine nahezu perfekte lineare Funktion. Bei einem Passwort mit 1 Stelle erhielt ich einen Entropiedurchschnitt von 4,8 Bits und bei 30 Stellen ein Entropiedurchschnitt von 197,1 Bits. Für den untersuchten Sachverhalt mussten wir schlussendlich ein mathematisches Modell entwickeln. Ich entwickelte als Modell die Funktionsvorschrift 𝑓(𝑥)=6,5794𝑥−1,3267 mit x gleich der Länge des Passworts und f(x) gleich der Entropie des Passworts.
Grundsätzlich gibt es keine unknackbaren Passwörter, aber durch erhöhen der Entropie eines Passworts kann man das Knacken desselben erschweren. Wie hoch muss also die Entropie für ein sicheres Passwort sein?
Um Passwörter tatsächlich zu knacken oder zu erraten werden hauptsächlich die Brute-Force-Methode oder ein Wörterbuchangriff verwendet. Bei Brute-Force-Angriffen wird ein Passwort durch systematisches Ausprobieren von Zeichenfolgen gefunden. Diese Methode ist sehr rechenintensiv, führt aber garantiert zum Erfolg. Die Frage ist nur, wie lange es dauert, bis der Erfolg eintrifft. Wörterbuchangriffe sind der Brute-Force-Methode sehr ähnlich, jedoch werden anstelle von Zeichenfolgen gängige Passwörter aus einem speziell dafür angelegten Wörterbuch systematisch ausprobiert. Bei beiden Verfahren ist die Rechenzeit der limitierende Faktor für den Erfolg des Angreifers. Um die nötige Zeit zum Berechnen oder Erraten eines Passworts zu erhöhen, muss die Entropie des Passworts erhöht werden.
Die Berechnung für den Rechenaufwand und somit der nötigen Rechenzeit für einen herkömmlichen Computer, um ein Passwort zu knacken hängt von vielen Variablen ab und kann nur modellhaft gemacht werden. Es kommt darauf an, welche Methoden für das Knacken verwendet werden, wie das Passwort aufgebaut ist und wie leistungsfähig der Computer ist. Geht man davon aus, dass das Passwort die maximale Komplexität hat, also zufallsgeneriert ist und die Brute-Force-Methode angewandt wird, kann mit gegebener Leistung des Computers und Durchschnittsentropie eine Rechenzeit berechnet werden. Die statistische Anzahl Versuche, die ein Computer braucht, um ein zufälliges Passwort zu erraten, lässt sich als Zweierpotenz berechnen, wobei die Entropie den Exponenten angibt. Bei einem Passwort mit 6 Stellen habe ich in meinem Modellierungsprojekt einen Entropiedurchschnitt von 38,7 Bits erhalten. Das heisst für ein solches Passwort braucht ein Computer statistisch gesehen etwa 447 Milliarden Versuche. Rechnet man mit einem herkömmlichen Computer, der 10 Milliarden Berechnungen in der Sekunde durchführen kann, erhält man etwa 44,7 Sekunden Berechnungszeit für ein solches Passwort. Die ermittelte Zeit basiert auf einer Modellrechnung mit vielen Annahmen für Variablen, sie ist also nur ein Beispielwert. Dennoch ist die Zeit sehr kurz, was bedeutet, dass das Passwort sehr einfach geknackt werden kann. Meistens wird ein Passwort mit einer Entropie von 75 Bits als relativ sicher bezeichnet. Um solche Passwörter zu knacken, benötigen herkömmliche Computer schon um die mehrere tausend Jahre. Je höher aber die Entropie des Passworts, desto länger braucht man statistisch gesehen, um es zu knacken. Gut sind also Passwörter ab einer Entropie von 75 Bits oder sogar 100 Bits. Bei zufälligen Passwörtern ergibt das Passwörter mit etwa 12 beziehungsweise 16 Stellen. Passwörter können aber auch viel länger sein, was die Wahrscheinlichkeit, dass es in sinnvoller Zeit geknackt werden kann, deutlich minimiert. Bei Passwörtern, die nicht zufällig generiert wurden und Wörter, Geburtsdaten oder spezielle Zeichenfolgen enthalten, muss die Länge noch grösser sein, um das Passwort als sicher einstufen zu können. Der Grund dafür ist, dass manche ausgeklügelten Methoden schneller Wörter und spezielle Zeichenfolgen ausprobieren und knacken, als zufällige Zeichenfolgen. Es gibt also keine zu 100 % sicheren Passwörter, aber es gilt: je länger, desto sicherer.
