Passwörter - Theorie und Praxis

Entropie von Passwörtern

Ein Maß für die Güte von Passwörtern oder Passphrasen ist die so genannte Entropie. Diese gibt an, wie viele Bits nötig wären, um das betrachtete Passwort mittels einer Bitfolge darzustellen.

Beispiel:

Die Anzahl an 20 stelligen Passphrasen über dem Alphabet A={a,b,c,…,z} der Kleinbuchstaben beträgt: (#A)²⁰ = 26²⁰ Sei nun e die Länge der Bitfolge, mit der die gleiche Anzahl an Passphrasen dargestellt werden kann, also: 2^e = 26²⁰ e = log₂(26²⁰) = 20 log₂(26) = 20 lg(26)/lg(2) = 94

Damit können durch Bitfolgen der Länge 94 Bit genauso viele Passphrasen dargestellt werden wie durch 20 Stellen über dem Alphabet A der Kleinbuchstaben. Man sagt, eine 20 stellige Passphrase über dem Alphabet A der Kleinbuchstaben enthält 94 Bit Entropie.

Aufgabe 1

Wie viel Bit Entropie enthält ein 8 stelliges Zufallswort über

1. dem Alphabet A={a,b,c,…,z} der Kleinbuchstaben?
2. dem Alphabet der ASCII-Zeichen?

Aufgabe 2

Wie lang muss ein Passwort über dem Alphabet A={a,b,c,…,z} der Kleinbuchstaben gewählt werden, damit es genau so viel Entropie enthält wie

1. ein 8 stelliges Passwort über den Alphabet der ASCII-Zeichen?
2. ein 10 stelliges Passwort über den Alphabet der ASCII-Zeichen?
3. ein n stelliges Passwort über den Alphabet der ASCII-Zeichen?

Aufgabe 3

Unter der Voraussetzung, dass eine Angreiferin Kenntnis darüber hat, dass das Diceware-Verfahren verwendet wurde (und sogar auch noch die verwendete Wortliste kennt):
Wie viel Bit Entropie enthält ein Zufallswort, das nach dem Diceware-Verfahren generiert worden ist? Welche Entropie ergibt sich daraus für eine Passphrase, die aus 8 Zufallswörtern gebildet wurde?

Aufgabe 4

Wie viele Passwörter müssen mittels des Diceware-Verfahrens zu einer Passphrase zusammengesetzt werden, die mindestens 128 Bit Entropie enthalten soll?