Passphrase vs. Passwort: Was ist sicherer?
Passphrasen aus zufälligen Wörtern und komplexe Zeichenpasswörter lösen dasselbe Problem auf unterschiedliche Weise. Hier ist, wie sie sich bei Entropie, Merkbarkeit und Sicherheit im Alltag vergleichen — und wann Sie welches verwenden sollten.
Die ehrliche Antwort: Es kommt darauf an, wie sie gemacht sind
Eine Passphrase ist nicht automatisch sicherer als ein Passwort und umgekehrt. Worauf es ankommt, ist Entropie — wie viel echten Zufall das Geheimnis enthält — und ob ein Mensch es tatsächlich nutzen kann. Eine zufällig erzeugte Passphrase aus sechs Wörtern und ein zufällig erzeugtes 20-Zeichen-Passwort können beide extrem stark sein. Ein Passwort, das Sie selbst ausgedacht haben, und eine Passphrase, die Sie selbst ausgedacht haben, können beide schwach sein.
Entropie im Vergleich
Entropie wird in Bit gemessen, und mehr Bit bedeuten exponentiell mehr Rateversuche, um sie zu brechen. Ein komplexes Passwort packt mehr Entropie in jedes Zeichen, sodass es stark sein kann, obwohl es kurz ist. Eine Passphrase verteilt die Entropie über ganze Wörter, sodass sie mehr Zeichen braucht, um dieselbe Stärke zu erreichen — aber diese Zeichen sind weit leichter zu merken. Sechs zufällige Wörter landen bei etwa 70–80 Bit; ein vollständig zufälliges 16-Zeichen-Passwort liegt in einem ähnlichen Bereich. Beide widerstehen dem Offline-Knacken bequem.
Merkbarkeit und Bedienbarkeit im Vergleich
Hier gewinnen Passphrasen. Menschen können sich „hafen-geige-kobalt-stempel“ weit zuverlässiger merken als „7xQ!r2$kPm9#“, und sie können es korrekt auf einem Smartphone, einer Fernbedienung oder einer Konsole tippen. Für jedes Geheimnis, das ein Mensch behalten muss — ein Master-Passwort, eine Geräteanmeldung, einen WLAN-Schlüssel —, ist dieser Vorteil bei der Bedienbarkeit entscheidend.
Wo jeweils einer gewinnt
Verwenden Sie ein langes Zufallspasswort für Konten, die Ihr Passwortmanager speichert und ausfüllt, denn Dichte schlägt Merkbarkeit, wenn eine Maschine die Arbeit erledigt. Verwenden Sie eine Passphrase für die Geheimnisse, die Sie sich selbst merken müssen. In der Praxis ist die ideale Einrichtung beides: eine starke Passphrase, um einen Passwortmanager zu entsperren, der lange Zufallspasswörter für alles andere bereithält.
Was wenig hilft
Vorhersehbare Tricks bringen wenig echte Sicherheit: den ersten Buchstaben großzuschreiben, „a“ durch „@“ zu ersetzen oder „1!“ an ein Wörterbuchwort anzuhängen sind allesamt Muster, die Knack-Tools zuerst ausprobieren. Ob Sie eine Passphrase oder ein Passwort wählen, die Stärke muss aus Zufall und Länge kommen — nicht aus clever aussehenden Ersetzungen.
Häufig gestellte Fragen
Ist eine Passphrase immer sicherer als ein Passwort?
Nein. Beide sind nur so stark wie ihre Entropie. Eine zufällig erzeugte Passphrase und ein zufällig erzeugtes Passwort können beide sehr stark sein; selbst ausgedachte Versionen von beidem sind tendenziell schwach.
Warum werden Passphrasen so oft empfohlen?
Weil sie hohe Entropie erreichen und dabei einprägsam und leicht tippbar bleiben. Für Geheimnisse, die ein Mensch behalten muss, macht diese Bedienbarkeit starke Entscheidungen praktikabel.
Ist ein längeres Passwort besser als ein kurzes komplexes?
In der Regel ja. Länge erhöht die Anzahl der Möglichkeiten schneller, als ein paar Symbole einzusetzen. Ein langes Zufallspasswort oder eine Passphrase aus mehreren Wörtern schlagen beide ein kurzes „komplexes“.
Welches sollte ich für das Master-Passwort meines Passwortmanagers verwenden?
Eine Passphrase aus sechs oder mehr zufälligen Wörtern. Sie hat hohe Entropie und ist einprägsam, genau das, was ein Master-Passwort braucht.
Helfen Zeichenersetzungen wie @ für a?
Kaum. Knack-Tools rechnen mit diesen Ersetzungen. Echte Stärke kommt aus Zufall und Länge, also fügen Sie stattdessen ein Wort oder Zeichen hinzu.