Das Diceware PW mit 6 Wörtern und 29 Buchstaben hat nur(?) 88,86 bit Entropie laut Keepass.
Mein individuelles PW (Merksatz) für die Bank (16 Zeichen groß/klein, Zahlen, Sonderzeichen) das nirgends gespeichert ist hat 85,53 Entropie.
So groß ist der Unterschied also nicht.
Eher im Gegenteil mit 16 Zeichen weniger getippe bei annähernd gleicher Sicherheit.
So wirklich verstehe ich deshalb nicht, warum diese „Merksatzmethode“ so viel unsicherer sein soll.
Die Angreifer kennen ja nicht meine Logik der Zeichenkette.
Bei der Merksatzmethode sind bestimmte Buchsaben statistisch gesehen wahrscheinlicher enthalten. Auch wird so ein Passwort gerne leetspeak-mässig verfremdet so daß bestimmte Sonderzeichen und Zahlen auch wahrscheinlicher sind z.B. 1 3 4 0 ! $ &. Somit ist so ein Passwort nicht zufällig und die berechnete Entropie ist zu hoch angesetzt, weil KeepassXC diesen Umstand nicht erkennen kann und von einer zufälligen Zeichenfolge ausgeht.
Was mich an diesen Akronym-Merksätzen stört, ist eher die Usability. Als Zehn-Finger-Tipper will ich nicht Zeichen für Zeichen eines Satzes eintippen müssen. Nach x Eingaben kann ich den Zeichensalat wahrscheinlich auswendig, aber beim zügigen Tippen will ich gar nicht auf die Tastatur gucken oder groß drüber nachdenken müssen.
Mein Problem ist eher, dass ich bei Großbuchstaben die Pfoten nicht rechtzeitig von der Shift-Taste bekomme. Darum habe ich schon ernsthaft überlegt, auf diese Zeichenklasse zu verzichten. Gaaanz schlecht für die Entropie und bei vielen PW-Richtlinien auch gar nicht erlaubt
Dank KeePass XC muss ich die ganzen Passwörter zwar selten eintippen, doch kommen immer noch viele zusammen, die ich einfach händisch eingeben muss: Geräte-Login, Cryptomator, Veracrypt, KeePass selbst etc. pp. Darum ein Lob auf Biometrie, Hardware-Tokens und Passkeys, auch wenn die nicht überall Freunde finden.
