Wenn ich nun aber anfange die Wörter selbst zu mischen oder einfach einen nur mir bekannte Buchstaben weglasse ist es doch wesentlich schwieriger weil sich nun das Passwort aus den gesamten stellen der Wörter + der Anzahl der Wörter aus der liste ergibt.
Man kann alles immer noch schwieriger machen, hat ja auch niemand was dagegen, das Comic wollte halt aussagen daß leicht zu merkende Passwörter auch reichen können / nicht schlechter sein müssen als so eine Methode deren Ergebnis sich nur schwer einprägt. Wenn du irgendwelche Buchstaben weglässt bist du im Comic bei der oberen Reihe. Fehlte hier jetzt das i oder das s oder vielleicht doch das t oder ganz was anderes? *grübel* Schwer zu merken und wozu? Je nachdem wie du vorgehst, gibt das dann doch wieder nur 1-2-3 Bit zusätzlich. Wenn du mehr Entropie haben willst, lieber noch ein fünftes Wort und damit gleich 11 Bit dazu... was lohnt sich mehr wenns leicht zu merken sein soll?
Oder mal rückwärts, überleg dir wieviel Entropie du brauchst, und wie ein rein zufälliges ASCII-Passwort dazu aussehen würde, und wie du die gleiche Entropie stattdessen in einem leicht zu merkenden Format bekommst.
Wenn man davon ausgeht daß ASCII etwa 6 Bit pro Zeichen hat — eingeschränkt auf die Zeichen davon die man tatsächlich kennt/in einem Passwort verwenden würde, die meisten denken bei Sonderzeichen ja zuerst an ! oder / und nicht an {| — etwa 6 Bit pro Zeichen hat, dann brauchst du 8 Zeichen um mit den 44 Bit aus dem Comic gleichzuziehen.
Das CorrectHorseBatteryStable entspricht dann also von der Stärke her halbwegs eins von denen hier:
\t6*1TKc `@t<oW2@ N2O?$DLR ceN<t#m0 k0)^3Vy6 ;XkG%5J< SY75cUY| *WV6pj*G 0!I$UW-F 6c_oF-]< 7!JUx*2Q ~YV2C5:& E6H1kZ~u Ko(89aDA b-~Mlm1F .Lc>3?gp 4O|!,?{v ]c^EZ8sV ^g?8X<70 "p[V0xx^ A2J-8js[ tQ_fT7F9 Zob8kR)n ]zXtJ9WR
Nur halt in leicht zu merken.
Merkst du dir lieber 7!JUx*2 oder DetectiveRadiationEarnedRugby?
Merkst du dir lieber ;XkG%5J oder SeminareHeuteVerhindertKeiner?
(Nur zur Veranschaulichung - das war ein wenig Milchmädchenrechnung jetzt.)
Fällt dir eine Methode ein die a) sehr leicht zu merken ist, b) genausoviel oder mehr Entropie hat, als der XKCD-Vorschlag?
Anfangsbuchstaben von einem Satz verwenden: Ist das ein zufälliger Satz? Ohne Zufall keine Entropie. (z.B. du bist Tolkien-Fan und nimmst einen Satz aus Herr der Ringe - soviele Sätze hat das auch wieder nicht daß man die nicht alle durchprobieren könnte.)
Ohne Zufall keine Entropie gilt auch für die XKCD-Methode, dein Beispiel sah nicht sehr zufällig aus. Die versprochene Entropie wird nur erreicht wenn man die Wörter wirklich rein zufällig auswählt (shuf -n 4 woerterliste.txt
o.ä.) und das Ergebnis dann auch verwendet. Klickt man so lange weiter bis man ein Passwort findet das einem "gefällt" oder einen "Sinn ergibt" und jemand schreibt dazu passend ein Modell das "hässliche/sinnlose" Passwörter herausfiltert, dann hat sich die Entropie stark reduziert weil dann viele Möglichkeiten gar nicht erst in Frage kommen.
Logisch gesehen müsste es der 2te Aspekt, abgewandelter Passsatz sein, da dieser die meisten Stellen aufweist, einfach zu merken ist aber dennoch mit Wörterbuchattaken nicht wirklich geknackt werden kann; dem Greifer bleibt nur das Testen aller möglichen Zeichenkombinationen.
Die Annahme ist immer daß der Angreifer haarklein das System kennt mit dem du dein Passwort erzeugt hast, aber es trotzdem nicht knacken kann weil man die Entropie nicht austricksen kann.
Kennt er das System nicht dann ist in der Tat, wie auch von der Passwortseite bescheinigt, 'abababababababab' ein sehr sicheres Passwort das sich jahrhundertelang nicht knacken läßt.
Stimmt ja auch, solange man nur Passwörter bis 8 Zeichen probiert, knackt man ein längeres Passwort nie, selbst wenns nur aaaaaaaaa ist.