Ein Stärke-Prozentwert ist eine Meinung mit zwei Nachkommastellen.
Wenn eine Website dir sagt, dein Passwort sei „zu 92 % sicher“, drängt sich die Frage auf: 92 % wovon? Was sind die 100 %? Die gibt es nicht. Niemand hat je das perfekte Passwort veröffentlicht, an dem alle anderen gemessen werden. Diese Zahl stammt aus einem Dreisatz, den jemand an einem Dienstagnachmittag improvisiert hat – so viele Punkte für den Großbuchstaben, so viele fürs Sonderzeichen – und ihre einzige echte Aufgabe ist es, den Balken grün zu färben, damit du weiterklickst.
Bits bedeuten dagegen immer exakt dasselbe. Und sie bedeuten etwas, mit dem du tatsächlich etwas anfangen kannst.
Ein Bit ist eine Ja-oder-Nein-Frage
Die ganze Idee passt in einen Satz: Jedes Bit verdoppelt die Zahl der Versuche, die jemand braucht, der nichts über dich weiß.
Ein Bit sind zwei Möglichkeiten. Zwei Bit sind vier. Drei sind acht. Zehn Bit sind 1.024, und zwanzig Bit sind etwas mehr als eine Million. Die Rechnung steigt nicht, sie verdoppelt sich – und genau am Verdoppeln stürzt unsere Intuition den Abhang hinunter.
Deshalb ist der Satz „40 Bit sind doppelt so gut wie 20“ auf fast schon komische Weise falsch. Zwischen 20 und 40 Bit liegen zwanzig Verdopplungen, also der Faktor 2²⁰: 40 Bit sind nicht das Doppelte von 20, sondern eine Million Mal mehr. Und 60 Bit sind nicht das Dreifache von 20, sondern eine Million Mal mehr als 40. Unser Kopf liest diese Skala wie einen Zollstock, und das ist sie nicht. Sie ist eher wie die Richterskala oder die Dezibelskala: ein winziger Schritt in der Zahl, ein brutaler Sprung in der Wirklichkeit.
Das ist der ganze Vorteil des Bits gegenüber dem Prozent. Das Prozent gibt dir ein Gefühl. Das Bit gibt dir eine Menge Arbeit.
Woher das Wort kommt
Das Wort Entropie im Zusammenhang mit Information stammt aus einem Aufsatz von 1948: A Mathematical Theory of Communication von Claude Shannon.
Man sollte das präzise sagen, weil es oft falsch zitiert wird: Shannon dachte nicht an Passwörter. Es gab keine nennenswerten Computerpasswörter. Er arbeitete in den Bell Labs an einem ganz anderen Problem – wie viel Information eine Nachricht wirklich transportiert und wie stark man sie komprimieren kann, bevor sie kaputt geht – und dafür musste er etwas Schlüpfriges messen: die Ungewissheit dessen, der auf der anderen Seite sitzt.
Seine Erkenntnis, grob gesagt: Information und Überraschung sind dasselbe. Eine Nachricht, die du schon kanntest, informiert dich über nichts. Eine Nachricht, die niemand vorhersehen kann, informiert dich enorm. Die Entropie misst, wie viel Überraschung in der Quelle steckt, die die Nachrichten erzeugt – gemessen in Bit.
Dass sich das für Passwörter eignet, ist fast ein glücklicher Zufall. Ein Passwort ist nämlich exakt das: eine Nachricht, die unmöglich vorherzusehen sein muss.
Das Schloss mit den Rädchen
Hier kommt die einzige Formel des Artikels, und ich verspreche: sie kostet nichts.
H = L × log₂(N)
Vergiss den Logarithmus für einen Moment und denk an eines dieser Zahlenschlösser am Fahrrad. Du hast zwei Möglichkeiten, es demjenigen schwer zu machen, der es öffnen will:
- Mehr Rädchen anbringen. Das ist die Länge (
L): wie viele Zeichen dein Passwort hat. - Mehr Symbole auf jedes Rädchen packen. Das ist das Alphabet (
N): ob auf jedem Rädchen nur die zehn Ziffern stehen, oder die 26 Buchstaben, oder Buchstaben und Zahlen und Zeichen.
Der Logarithmus macht nur eines: Er übersetzt „wie viele Symbole trägt ein Rädchen“ in „wie viele Bit steuert dieses Rädchen bei“. Ein Rädchen mit 26 Buchstaben liefert rund 4,7 Bit. Ein Rädchen mit allen 95 druckbaren Zeichen der Tastatur liefert rund 6,6.
Und da liegt die Pointe. Schau, wo in der Formel was steht. Das Alphabet steckt im Logarithmus, plattgedrückt; die Länge steht draußen und multipliziert.
Die Symbole pro Rädchen fast zu vervierfachen – von 26 Buchstaben auf 95 Zeichen –
bringt dir weniger als zwei Bit pro Rädchen. Ein zusätzliches Rädchen bringt dir
ein ganzes log₂(N), und noch eins, und noch eins. Deshalb schlagen zwölf
Kleinbuchstaben und sonst nichts (rund 56 Bit) acht Zeichen mit Großbuchstaben,
Ziffern und einem dieser Sonderzeichen, die Formulare so gerne verlangen (rund 53).
P@ssw0rt verliert gegen pferdrichtigbatterieklammer, und zwar nicht mal knapp.
Das NIST ist in seiner SP 800-63B auf einem anderen Weg am selben Punkt angekommen: Es hat die Zusammensetzungsregeln – ein Großbuchstabe, eine Ziffer, ein Sonderzeichen – über Bord geworfen und behält die Länge und den Abgleich gegen Listen geleakter Passwörter. Man sollte ihm dabei nichts in den Mund legen: Sein Argument ist nicht dieses mit der Formel, sondern dass Menschen, die man zu einem Sonderzeichen zwingt, dadurch nicht unvorhersehbar werden – sie werden nur auf eine andere Art vorhersehbar. Tatsächlich misstraut das Dokument selbst der Schätzung der Entropie eines von einem Menschen gewählten Passworts. Zwei verschiedene Argumentationen, dieselbe Schlussfolgerung. Erzwungene Komplexität arbeitet innerhalb des Logarithmus. Die Länge arbeitet außerhalb.
Das Kleingedruckte, das fast niemand erwähnt
Es gibt einen Haken, und er ist der ehrliche Teil an der ganzen Sache: Die Entropie misst nicht dein Passwort, sie misst den Prozess, der es erzeugt hat.
4$Kp!9zQ hat diese 53 Bit nicht, weil es schwierig aussieht. Es hat sie dann – und
nur dann –, wenn es aus einer wirklich zufälligen Ziehung unter den 95 Tasten
stammt. Wenn du es selbst getippt hast und dabei versucht hast, zufällig zu wirken,
gilt die Formel nicht: Du bist keine Ziehung. Du setzt den Großbuchstaben nach
vorn, die Ziffer nach hinten, und das Sonderzeichen ist ein !. Wer dich angreift,
probiert nicht die 95 Möglichkeiten jeder Position durch, sondern zuerst die, die
Menschen nehmen.
Daraus ergibt sich die unangenehme Asymmetrie der Passwortsicherheit. Die Entropie ist eine Obergrenze, kein Fundament. Erzeugt sie eine Maschine, ist die Grenze echt. Wählst du selbst, weißt du nur eines: dass du darunter liegst – und nicht, wie weit.
Deshalb gibt es zwei Werkzeuge und nicht eines. Der Generator würfelt
wirklich und darf dir die Bit deshalb mit ernstem Gesicht zeigen: Er weiß, wie viele
Rädchen es sind (L), er weiß, wie viele Symbole jedes trägt (N), und er
multipliziert das vor deinen Augen. Wenn du den Regler verschiebst und die Zahl
steigen siehst, siehst du das L schieben. Der Passwort-Checker
kann das bei einem bereits existierenden Passwort dagegen nicht: Er hat keine
Ahnung, wie es entstanden ist. Also tut er das einzig Sinnvolle – er sucht es in
Wörterbüchern, Namenslisten und Tastaturmustern und nimmt das Schlimmste an.
Was hängen bleiben soll
Drei Sätze:
- Ein Bit ist eine Verdopplung. Zehn Bit mehr sind tausendmal mehr Arbeit; zwanzig Bit mehr eine Million Mal.
- Die Länge multipliziert, das Alphabet addiert kaum. Ein Wort mehr ist mehr wert als ein Ausrufezeichen mehr.
- Bit zählen nur, wenn der Zufall echt ist. Eine Maschine kann sie versprechen. Du, von Hand getippt, nicht.
Shannon wollte wissen, wie viel Überraschung in eine Nachricht passt. Gut siebzig Jahre später zeigt sich, dass genau das die richtige Frage für ein Passwort war: nicht, ob es kompliziert aussieht, sondern wie viel Überraschung es für jemanden enthält, der dich überhaupt nicht kennt.
Quellen: C. E. Shannon, „A Mathematical Theory of Communication“, Bell System Technical Journal, 1948 · NIST SP 800-63B, Digital Identity Guidelines (Authentication and Lifecycle Management) · der Generator von password.es, der H = L × log₂(N) berechnet und L, N sowie die resultierenden Bit anzeigt.