Hallo,
da ich gerade im Begriff bin eine neue Bitbox aufzusetzen, befasse ich mich auch mit dem Thema Gerätepasswort. Laut shiftcrypto werden mindestens 5 zufällige Zeichen empfohlen (Knowledge Base - Wie lange sollte mein Gerätepasswort sein?). Da es für mich leichter ist zufällige ausgewählte Wörter zu merken (zB aus der * Bonneau’s Long Diceware list), wollte ich die Experten hier fragen wieviele zufällige Wörte es in dem Fall seien sollten um eine gleich gute Sicherheit zu erstellen.
Im verlinkten Artikel wird ja erklärt warum Brute Force Angriffe auf eine BitBox02 (bzw. auf das Gerätepasswort) nicht einfach so umsetzbar sind. Das Limit von 730000 Entsperrungen im Sicherheitschip grätscht hier relativ schnell dazwischen, sollte man die Firmware (mit den 10 falschen Versuchen) überhaupt umgehen können.
Wenn du dieser Funktion vertraust kannst du der Empfehlung folgen. Ein zufälliges Passwort mit 7 Zeichen aus Buchstaben und Zahlen hat zwischen 30 und 40 bit Entropie. Mit drei zufälligen Worten aus einer großen Wortliste liegst du in einem ähnlichen Bereich, zumindest haut das bei meiner Wortliste in KeePassXC so hin.
Sollte dir die Sicherheit von 5 zufälligen Zeichen reichen (ungefähr 20 bis 30 bit Entropie) dann reichen auch zwei zufällige Wörter.
Diese Entropieangaben sind natürlich jetzt nur sehr grobe Richtwerte. Also TLDR: 2 bis 3 Wörter sind ausreichend.
Das bedeutet dann halt trotzdem mehr Tippaufwand. Wenn du das Gerätepasswort mal vergisst ist das ja nicht tragisch da du jederzeit wiederherstellen kannst.
Für alle anderen Passwörter und/oder wenn man diesem Schutzmechanismus im Sicherheitschip nicht vertrauen möchte, muss man natürlich wie üblich längere und komplexere Passwörter wählen!
