Passphrase statt Passwort: Lohnt sich das?

Die beliebtesten Passwörter der Deutschen haben einiges gemeinsam: Sie sind viel zu simpel, für Hacker leicht zu knacken – und bei allen davon handelt es sich auch wirklich nur um ein Wort.

Das muss nicht sein, denn während Websites für Passwörter häufig eine Mindestlänge vorgeben, gibt es nach oben keine Begrenzung. Manche Menschen verwenden deswegen ganze Passwort-Phrasen, die für Hacker schwerer zu erraten sind. Doch lohnt sich das überhaupt? Wir erklären, wie eine Passphrase aussehen sollte, ob sie wirklich besser ist als ein Passwort und warum wir stattdessen zur Verwendung eines Passwort-Managers raten.

Eine Passphrase ist eine Abfolge von Wörtern oder eine längere Zeichenkette, die wie ein Passwort verwendet wird, aber die typische Passwort-Länge (8 bis 20 Zeichen) übersteigt.

Das Prinzip dahinter ist einfach: Je länger das Passwort, desto schwieriger ist es, es zu knacken. Phrasen sind länger als Wörter und eine Passphrase, die mehr Zeichen enthält als ein Passwort, ist somit sicherer. Besonders Brute-Force-Angriffe, bei denen Cyberkriminelle Passwörter per Trial-and-Error erraten, sind bei Passphrasen wesentlich schwieriger.

Die stärksten Passwörter sind „zufällige“ Zeichenkombinationen, die Cyberkriminelle nur schwer erraten können. Dieselbe Logik gilt auch bei Passphrasen: Die Länge allein macht sie nämlich nicht sicher vor Hackern. Sie sollten nicht die ersten Zeilen Ihres Lieblingsgedichts oder den Refrain eines Songs verwenden, weil jene unter Umständen einfach zu erraten sind.

Viel besser sind willkürliche Wortkombinationen wie:

Lautsprecher Tiger Landebahn Mondkrater

Natürlich können Sie die Passphrase zusätzlich mit Zahlen oder Sonderzeichen anreichern, um sie noch sicherer zu machen:

L@utsprecher-T1ger-L@nd@bahn-M0ndkr@ter

Allein die Kombination aus Länge und Willkür macht eine „normale“ Passphrase bereits vergleichsweise sicher und schwerer zu knacken als Passwörter mit Normallänge. Mit manchen Online-Tools, beispielsweise useapassphrase.com, können Sie Passphrasen übrigens automatisch erstellen.

Passphrasen merken – mit Eselsbrücken

Wichtig ist dabei natürlich, dass Sie Ihre Passphrase nicht vergessen. Selbst willkürliche Wortkombinationen können Sie sich merken, indem Sie eine Geschichte dazu erfinden. Für unser Beispiel stellen wir uns einfach einen Mondflug mit Tiger-Kapitän vor: „Über den Lautsprecher teilt der Tiger mit, dass neben der Landebahn einige Mondkrater zu sehen sind.“

Nein, und auch das hat eine Passphrase mit regulären Passwörtern gemeinsam: Verwenden Sie sie nur einmal, beispielsweise für Ihren wichtigsten Dienst (oder als Master-Passwort für Ihren Passwort-Manager – mehr dazu später). Wenn nämlich jemand hinter Ihre Passphrase kommt, und dies kann beispielsweise durch Datenleaks ganz unabhängig von der Stärke der Passphrase vorkommen, sind alle Dienste in Gefahr, bei der Sie dieselbe Phrase verwenden.

Passphrasen können eine sinnvolle Alternative zu klassischen Passwörtern sein. Zu ihren Vorteilen zählen:

Passphrasen haben also durchaus ihre Berechtigung. Dass sie sich bisher nicht durchgesetzt haben, liegt unter anderem an diesen Gründen:

Egal ob Passphrase oder Passwort: Die-/dasselbe sollten Sie aus Sicherheitsgründen niemals bei mehreren Diensten verwenden. Weil Sie aber vermutlich zahlreiche Online-Dienste verwenden, werden Sie sich kaum für jeden eine eigene, willkürliche Passphrase einprägen wollen – da kommt man selbst mit den besten Eselsbrücken nicht hinterher.

Deshalb empfehlen wir die Verwendung eines Passwort-Managers, der Sicherheit und Bequemlichkeit unter einem Software-Dach vereint.

Ein Passwort-Manager ist ein Programm, das Ihre Passwörter für Sie speichert und Anmeldeformulare automatisch ausfüllt. Sie müssen sich nur noch ein einziges Master-Passwort merken, mit dem Sie Zugriff auf einen virtuellen Passwort-Tresor erhalten, in dem alle Ihre Passwörter gespeichert sind. Neue Passwörter können Sie mit einem Passwort-Generator automatisch erstellen.

So können Sie für jeden Dienst ein langes und sicheres Passwort erstellen, ohne dass Sie sich alle davon merken müssen. Außerdem haben die meisten Passwort-Manager noch weitere praktische Funktionen: Sie können neben Passwörtern auch Bank-, Adress- und andere Daten speichern und in entsprechenden Formularen automatisch ausfüllen. Oft gibt es zudem ein Sicherheits-Dashboard, das Sie über mögliche Sicherheitsrisiken informiert.

Natürlich haben Sie auch die Möglichkeit, Ihren Passwort-Manager mit einer Passphrase zu kombinieren. Das Master-Passwort, also das Passwort, das Ihren Passwort-Manager aufsperrt, ist schließlich der Schlüssel zu Ihrer gesamten Identität und sollte dementsprechend möglichst sicher sein. Wenn Sie dafür eine Passphrase verwenden, machen Sie Ihren Tresor noch sicherer.

Das Konzept Passwort-Manager hat Sie überzeugt? Dann müssen Sie nur noch einen Account bei einem Anbieter Ihrer Wahl erstellen. Die Auswahl ist jedoch groß. Wir haben im EXPERTE.de Passwort-Manager-Test 14 Anbieter genauer unter die Lupe genommen – hier sind unsere Favoriten:

Dashlane ist ein souveräner Passwort-Manager, der aktuell das beste Gesamtpaket auf dem Markt bietet. Das automatische Ausfüllen funktioniert zuverlässig, die Bedienung ist erstklassig und darüber hinaus gibt es praktische Extra-Funktionen wie den automatischen Password-Changer. Premium-Abonnenten können sich über viele weitere praktische Features freuen, beispielsweise ein VPN.

1Password punktet mit starken Sicherheitsfeatures: Da wäre der lokal erzeugte 128-bit Secret Key, der für den Login von einem neuen Gerät aus nötig ist. Außerdem gibt es einen praktischen Reise-Modus, mit dem Sie ausgewählte Tresore während einer Reise automatisch von Ihren Geräten entfernen können. Dies gibt Ihnen beispielsweise bei Inspektionen mehr Sicherheit. Aber auch die Grundfunktionen, von Autofill bis zum Sicherheitszentrum, deckt 1Password zuverlässig ab.

Ein großes Plus von Keeper ist, dass Sie bei der Konfigurierung Ihrer Datensätze, also den gespeicherten Accounts oder Identitäten, viele Freiheiten haben: Sie können benutzerdefinierte Felder anlegen oder ausgewählte Bereiche mit zeitbasierten Einmalpasswörtern zusätzlich absichern. Darüber hinaus bietet Keeper eine intuitive Bedienung und macht auch beim automatischen Ausfüllen eine gute Figur.

Ausführliche Rezensionen zu diesen und vielen weiteren Passwort-Managern finden Sie in unserem Passwort-Manager-Vergleich.

Eine gute Passphrase ist länger und somit in der Regel sicherer als ein einfaches Passwort. Die Wörter der Passphrase sollten dabei willkürlich gewählt sein und können mit Zahlen und Sonderzeichen noch sicherer gemacht werden. Ein Vorteil der Passphrase ist, dass man sie sich mit Eselsbrücken besser merken kann als sichere Passwörter, die aus willkürlichen Zeichenkombinationen bestehen sollten.

Weil Sie jedoch für jeden Dienst ein einzigartiges Passwort benötigen, sind Passphrasen aufgrund ihrer Länge etwas unpraktisch, zumal sichere Passwörter meist schon sicher genug sind. Zudem empfehlen wir ohnehin die Verwendung eines Passwort-Managers, mit dem Sie sichere Passwörter automatisch erstellen und benutzerfreundlich verwalten können. Wer auf Nummer sicher gehen möchte, kann eine Passphrase als Master-Passwort des Passwort-Managers verwenden.

Ob und wie sicher Ihr Passwort ist, erfahren Sie im EXPERTE.de Passwort-Check.