Diceware-Generator

Der Diceware Generator funktioniert ganz einfach: Sprache auswählen, gewünsche Wortlänge sowie Anzahl der Extrazeichen wählen, „Generieren!“ klicken.

 

Wie funktioniert der Diceware-Generator

Der Diceware-Generator würfelt wie der Name schon vermuten lässt mit fünf Würfeln eine zufällige fünfstellige Zahl, beispielsweise „42531“. Anhand einer zuvor festgelegten Wortliste wird das Wort mit der Indexnummer „42531“ gezogen. Da die Wörter wahllos durch den Zufall bestimmt werden, sind die so generierten Passwörter sicher.

Da es sich bei den Wörter um gebräuchliche Begriffe handelt, ist die so generierte Passwort-Phrase idealerweise auch noch besonders leicht zu merken.

Durch die Nutzung von Extrazeichen (Sonderzeichen, Zahlen) kann die Stärke/Sicherheit der Phrase noch weiter erhöht werden.

Hinweise:

  • Für eine größtmögliche Sicherheit sollten physische, echte Würfel „von Hand“ geworfen werden. Die so gewürfelten Zahlen sind wesentlich zufälliger als es bislang jeder Computer vermag. Die Zahlen können dann manuel mit einer Wortliste verglichen werden.
  • Derzeit werden die Sprachen Deutsch und Englisch angeboten. Eine neue deutsche Wortliste ist in Planung.

Welche Länge ist empfehlenswert?

Wir empfehlen eine Länge von sechs (6) Wörtern. Der Erfinder der Diceware-Methode, Arnold G. Reinhold, empfiehlt seit 2014 für den Normalnutzer 6 Wörter oder 5 Wörter und zusätzlich ein Zeichen, das zufällig platziert wird.

Warum sind so generierte Passwörter sicher?

Die einfachste Erklärung dazu bietet dieser Comic von xkcd.

Eine Wortliste umfasst bei einer Anzahl von fünf Würfel (11111-66666) 7776 unterschiedliche Wörter, unterschiedlicher Länge. Die Wörter werden zufällig gezogen und zu einer Pass-Phrase zusammengeführt. Da kein Mensch an diesem eigentlich Prozess beteiligt ist, gibt es entsprechend auch keine menschlichen Schwächen, welche das Passwort kompromitierbar machen könnten. Die Stärke der Phrase liegt alleine dem Zufall zu grunde.

Bei einer Pass-Phrase welche aus 6 Wörtern besteht, ergibt dies 7776^6 = ~ 221.073.919.720.733.360.000.000 verschiedene Kombinationsmöglichkeiten.

Dies bedeutet bei der Annahme von einer Brute-Force-Attacke auf das Passwort mit 1.000.000.000.000 (eine Billion) Versuchen pro Sekunde und der statistischen Wahrscheinlichkeit das richtige Passwort bereits bei 50 % zu finden, eine ungefähre Rechenzeit von 3.505 Jahren.

Große Zahlen mögen beeindrucken. Moderne Hardware ist jedoch in der Lage immer mehr Versuche pro Sekunde auszuführen. Ein kleines GPU-Cluster kommt auf 350 GH/s also 350 Milliarden Versuche pro Sekunde. Staatliche Akteure haben dank viel größerer Mittel wohl wesentlich mehr Rechenleistung zur Verfügung. Die mag im Moment jedoch nur für Einzelfälle wirklich praktikabel sein.

Beispiel

Um die Stärke es Passworts zu messen wird die Entropie benutzt.  Was Entropie ist und wie sie berechnet wird, erfährst du weiter unten.

Nehmen wir an, ein 15-stelliges Passwort welches aus den Zeichen a-z und 0-9 bestehen kann wird zufällig erzeugt. Dieses lautet in diesem Beispiel psxm0nybt1oggdt.

Ein Vorat von 36 Symbolen (möglichen Zeichen) entspricht einer Entropie von ~ 5,170 bits pro Symbol.

Eine Diceware Wortliste enthält 7.776 Wörter. Diese sind mit den Zeichen als Symbole gleichzusetzen. Dies ergibt eine Entropie von ~ 12,925 bits pro Symbol.

Anhand dieser Grundwerte lässt sich schon erahnen, dass beim Diceware-Verfahren ein größerer „Zufallsbereich“ existiert.

Nehmen wir nun eine Diceware-Phrase welche aus sechs (6) Wörtern besteht, so weißt diese eine Entropie von ~ 77,55 bits auf. Das 15-stellige Passwort kommt ebenfalls auf ~ 77,55 bits.

Eine Pass-Phrase wie haus bus golf der zaun wal (21 Zeichen) ist bei dabei jedoch wesentlich einfacher zu merken, da es der normalen Sprache entnommen wurde.

Was ist „Entropie“?

Die Entropie ist ein Begriff aus der Informationstheorie der eng verwandt ist mit der Entropie in der Thermodynamik und der statistischen Mechanik. Hier beschreibt die Entropie als Maß den Informationsgehalt einer Nachricht.

Da in der Informatik alles in „Nullen“ und „Einsen“ berechnet wird, hat man sich für die Verwendung von Binärziffern entschieden. Man spricht daher von einer „Entropie von x bit“.

Vereinfacht umschrieben ordnet die Entropie jedem Zeichen eines Passworts einen Informationsgehalt (Wert) in Abhänigkeit der möglichen Zeichen zu. Daraus ergibt sich ein Gesamtwert, welcher die „Stärke“ des Passwortes umschreibt. Dies bedeutet, dass ein Kenntwort mit hoher Entropie potentiell aus wesentlich mehr verschiedenen Zeichen bestehen könnte und so auch schwieriger zu knacken ist.

Einen genaueren Artikel zur Entropie findest du hier.