Entropie (Shannon)

Entropie in der Informationstheorie (Shannon-Entropie) misst, wie unvorhersehbar eine Zufallsvariable ist, in Bits. Eine 1-Bit-Entropiequelle kann 2 gleich wahrscheinliche Ergebnisse erzeugen; n-Bit-Entropie kann 2ⁿ erzeugen. Mathematisch: H = log₂(N) für N gleich wahrscheinliche Ergebnisse.

Beispiele:

• Ein fairer Münzwurf: 1 Bit.
• Ein fairer Würfelwurf: log₂(6) ≈ 2,58 Bit.
• Ein zufälliges 8-Zeichen-Passwort in Kleinbuchstaben: 8 × log₂(26) ≈ 37,6 Bit.
• Ein zufälliges 16-Zeichen-Passwort aus [a-z A-Z 0-9 Sonderzeichen]: 16 × log₂(94) ≈ 104,9 Bit.
• Eine UUID v4: 122 Bit (6 Bit sind Versions-/Varianten-Konstanten).

Warum Entropie für Geheimnisse wichtig ist: Ein Angreifer, der Ihr Passwort per Brute Force knackt, probiert Kombinationen nacheinander durch. Der erwartete Aufwand beträgt 2ⁿ⁻¹ Versuche, wobei n die Entropie Ihres Passworts ist. Bei einer Milliarde Versuche pro Sekunde:

• 40 Bit: ~9 Minuten zum Brute-Forcing. Unzureichend.
• 60 Bit: ~17 Jahre. Grenzwertig.
• 80 Bit: ~38 Millionen Jahre. Ausreichend.
• 128 Bit: Wärmetod des Universums vor dem Durchsuchen. Kryptografisches Niveau.

Häufige Stolperfalle: Entropie hängt von der Verteilung ab, nicht nur vom Wert. Ein von einem Menschen gewähltes „zufälliges“ Passwort („Password123!“) hat weit weniger Entropie, als seine Länge vermuten lässt, weil der menschliche Auswahlprozess nicht gleichverteilt ist. Computergenerierte Zufallspasswörter (via crypto.getRandomValues oder /dev/urandom) erreichen die volle theoretische Entropie ihres Zeichensatzes.

Nutzen Sie unseren Passwortgenerator, um die Entropieanzeige live zu sehen, während Sie Länge und Zeichenklassen anpassen.

Durchgerechnetes Beispiel

Drei Passwörter für dasselbe fiktive Konto, nach Shannon-Entropie geordnet. Erstes: Password123! – 12 Zeichen, wirkt aufgrund der Länge „stark“, aber die Struktur (Wörterbuchwort + fortlaufende Ziffern + offensichtliche Interpunktion) drückt die effektive Entropie auf etwa 20–25 Bit, weil Angreifer regelbasierte Wörterbücher verwenden (hashcats best64, OneRuleToRuleThemAll), die genau dieses Muster ausprobieren. In unter einer Minute knackbar. Zweites: eine Diceware-Passphrase wie correct horse battery staple – vier Wörter aus der 7.776-Wörter-Diceware-Liste, Entropie = 4 × log₂(7776) ≈ 51,7 Bit. Auf einer einzelnen GPU jahrelang gegen Wörterbuchangriffe resistent. Drittes: 16 zufällige Zeichen aus einem 94-Zeichen-Alphabet via crypto.getRandomValues: 16 × log₂(94) ≈ 104,8 Bit. Mit jeder aktuellen oder absehbaren Technik rechnerisch nicht per Brute Force zu knacken. Die Lehre: Entropie entsteht aus dem Erzeugungsprozess, nicht daraus, kompliziert auszusehen.

Eine wichtige Feinheit: Entropie ist nicht dasselbe wie Länge. Ein 30-Zeichen-Passwort, das nur aus Kleinbuchstaben gezogen wird, hat 30 × log₂(26) ≈ 141 Bit – stark. Aber ein 30-Zeichen-„Passwort“, das in Wahrheit ein Zitat aus einem berühmten Buch ist, hat vielleicht 20–30 Bit, weil der Suchraum der Katalog berühmter Zitate ist, nicht jede mögliche 30-Zeichen-Folge. Angreifer zielen auf die tatsächliche Verteilung, nicht auf die nominelle.

Wann und warum es zählt

Entropie zählt jedes Mal, wenn ein Geheimnis dem Erraten widerstehen muss: Passwörter, API-Schlüssel, Sitzungstoken, Verschlüsselungsschlüssel und die Seeds für jede kryptografische Operation. NIST SP 800-63B (die moderne Passwortleitlinie) empfiehlt ausdrücklich, mindestens 80 Bit für langlebige Geheimnisse und 128 Bit für kryptografische Schlüssel anzustreben. Der häufigste Fehler ist, „zufällige“ Werte mit Math.random() zu erzeugen – einem nicht-kryptografischen PRNG mit höchstens 52 Bit effektivem Zustand, der aus wenigen Ausgaben trivial vorhersagbar ist. Für sicherheitsrelevante Zufälligkeit nutzen Sie crypto.getRandomValues() im Browser, crypto.randomBytes() in Node, secrets.token_*() in Python oder SecureRandom in Java/JVM. Der zweite Fehler ist die Wiederverwendung eines Sitzungstokens oder einer Nonce über mehrere Sitzungen hinweg; selbst ein wiederverwendeter 128-Bit-Wert schwächt das System auf den Kanal, der das Original geleakt hat. Quelle: NIST SP 800-63B — Digital Identity Guidelines.

Hardware- vs. Software-Entropiequellen: Moderne Betriebssysteme sammeln Entropie aus physikalischem Rauschen – Tastatur-Timing-Jitter, Mausbewegungen, Ankunftszeiten von Netzwerkpaketen und, auf neueren CPUs, dedizierten Thermisches-Rauschen-Instruktionen (RDRAND bei Intel, RDSEED bei AMD). Das Linux-/dev/random blockierte historisch, wenn der Entropiepool zur Neige ging; /dev/urandom mischt den Pool durch einen CSPRNG und blockiert nie. Seit Linux 5.18 (2022) sind die beiden im Wesentlichen gleichwertig – beide sind nach dem Sammeln der Boot-Entropie für die kryptografische Nutzung sicher. Cloud-VMs und Container können schwache Boot-Entropie haben; die Erzeugung kryptografischer Schlüssel auf einer frisch gebooteten VM ist einer der wenigen verbleibenden Fälle, in denen ein kurzes Warten auf das Ansammeln von Entropie messbar etwas bringt. Quelle: RFC 4086 — Randomness Requirements for Security.