Passphrase statt Passwort: Lohnt sich das?
Die beliebtesten Passwörter der Deutschen haben einiges gemeinsam: Sie sind viel zu simpel, für Hacker leicht zu knacken – und bei allen davon handelt es sich auch wirklich nur um ein Wort.
Das muss nicht sein, denn während Websites für Passwörter häufig eine Mindestlänge vorgeben, gibt es nach oben keine Begrenzung. Manche Menschen verwenden deswegen ganze Passwort-Phrasen, die für Hacker schwerer zu erraten sind. Doch lohnt sich das überhaupt? Wir erklären, wie eine Passphrase aussehen sollte, ob sie wirklich besser ist als ein Passwort und warum wir stattdessen zur Verwendung eines Passwort-Managers raten.
Was ist eine Passphrase?
Eine Passphrase ist eine Abfolge von Wörtern oder eine längere Zeichenkette, die wie ein Passwort verwendet wird, aber die typische Passwort-Länge (8 bis 20 Zeichen) übersteigt.
Das Prinzip dahinter ist einfach: Je länger das Passwort, desto schwieriger ist es, es zu knacken. Phrasen sind länger als Wörter und eine Passphrase, die mehr Zeichen enthält als ein Passwort, ist somit sicherer. Besonders Brute-Force-Angriffe, bei denen Cyberkriminelle Passwörter per Trial-and-Error erraten, sind bei Passphrasen wesentlich schwieriger.
Passphrase erstellen: So sollten Sie vorgehen
Die stärksten Passwörter sind „zufällige“ Zeichenkombinationen, die Cyberkriminelle nur schwer erraten können. Dieselbe Logik gilt auch bei Passphrasen: Die Länge allein macht sie nämlich nicht sicher vor Hackern. Sie sollten nicht die ersten Zeilen Ihres Lieblingsgedichts oder den Refrain eines Songs verwenden, weil jene unter Umständen einfach zu erraten sind.
Viel besser sind willkürliche Wortkombinationen wie:
Lautsprecher Tiger Landebahn Mondkrater
Natürlich können Sie die Passphrase zusätzlich mit Zahlen oder Sonderzeichen anreichern, um sie noch sicherer zu machen:
L@utsprecher-T1ger-L@nd@bahn-M0ndkr@ter
Allein die Kombination aus Länge und Willkür macht eine „normale“ Passphrase bereits vergleichsweise sicher und schwerer zu knacken als Passwörter mit Normallänge. Mit manchen Online-Tools, beispielsweise useapassphrase.com, können Sie Passphrasen übrigens automatisch erstellen.
Passphrasen merken – mit Eselsbrücken
Wichtig ist dabei natürlich, dass Sie Ihre Passphrase nicht vergessen. Selbst willkürliche Wortkombinationen können Sie sich merken, indem Sie eine Geschichte dazu erfinden. Für unser Beispiel stellen wir uns einfach einen Mondflug mit Tiger-Kapitän vor: „Über den Lautsprecher teilt der Tiger mit, dass neben der Landebahn einige Mondkrater zu sehen sind.“
Kann ich dieselbe Passphrase für mehrere Dienste verwenden?
Nein, und auch das hat eine Passphrase mit regulären Passwörtern gemeinsam: Verwenden Sie sie nur einmal, beispielsweise für Ihren wichtigsten Dienst (oder als Master-Passwort für Ihren Passwort-Manager – mehr dazu später). Wenn nämlich jemand hinter Ihre Passphrase kommt, und dies kann beispielsweise durch Datenleaks ganz unabhängig von der Stärke der Passphrase vorkommen, sind alle Dienste in Gefahr, bei der Sie dieselbe Phrase verwenden.
Sind Passphrasen sinnvolle Alternativen zu Passwörtern?
Passphrasen können eine sinnvolle Alternative zu klassischen Passwörtern sein. Zu ihren Vorteilen zählen:
Einfacher zu merken
Passphrasen können mitunter einfacher zu merken sein. Während Sie sich willkürliche Passwörter einfach einprägen müssen, können Sie sich für willkürliche Passphrasen Eselsbrücken zusammenreimen, die dafür sorgen, dass Sie sie nie wieder vergessen.Bei richtiger Verwendung sicherer
Willkürlich gewählte Passphrasen sind länger als Passwörter und somit in der Regel sicherer vor Hacking-Angriffen wie Brute-Force-Attacken.
Passphrasen haben also durchaus ihre Berechtigung. Dass sie sich bisher nicht durchgesetzt haben, liegt unter anderem an diesen Gründen:
Sichere Passwörter sind sicher genug
Sichere Passwörter liefern in der Regel genug Schutz vor Hacking-Angriffen. Wirklich notwendig ist eine Passphrase somit in den wenigsten Fällen.Nicht jeder Dienst unterstützt Passphrasen
Bei manchen Diensten gibt es Limits, was die Länge der Passwörter betrifft. Somit eignen sie sich nicht für Passwort-Phrasen.Eintippen dauert länger
Passwörter manuell eingeben ist nervig. Passwort-Phrasen einzugeben dauert häufig noch länger (wobei Passwort-Phrasen auf dem Keyboard besser von der Hand gehen können als willkürliche Tastenkombinationen).
Egal ob Passphrase oder Passwort: Die-/dasselbe sollten Sie aus Sicherheitsgründen niemals bei mehreren Diensten verwenden. Weil Sie aber vermutlich zahlreiche Online-Dienste verwenden, werden Sie sich kaum für jeden eine eigene, willkürliche Passphrase einprägen wollen – da kommt man selbst mit den besten Eselsbrücken nicht hinterher.
Deshalb empfehlen wir die Verwendung eines Passwort-Managers, der Sicherheit und Bequemlichkeit unter einem Software-Dach vereint.
Unser Tipp: Passwort-Manager verwenden
Ein Passwort-Manager ist ein Programm, das Ihre Passwörter für Sie speichert und Anmeldeformulare automatisch ausfüllt. Sie müssen sich nur noch ein einziges Master-Passwort merken, mit dem Sie Zugriff auf einen virtuellen Passwort-Tresor erhalten, in dem alle Ihre Passwörter gespeichert sind. Neue Passwörter können Sie mit einem Passwort-Generator automatisch erstellen.
Mit Passwort-Manager wie Dashlane haben Sie alle Ihre Passwörter und Accounts unter einem Dach.
So können Sie für jeden Dienst ein langes und sicheres Passwort erstellen, ohne dass Sie sich alle davon merken müssen. Außerdem haben die meisten Passwort-Manager noch weitere praktische Funktionen: Sie können neben Passwörtern auch Bank-, Adress- und andere Daten speichern und in entsprechenden Formularen automatisch ausfüllen. Oft gibt es zudem ein Sicherheits-Dashboard, das Sie über mögliche Sicherheitsrisiken informiert.
Passwort-Manager mit Passphrase kombinieren
Natürlich haben Sie auch die Möglichkeit, Ihren Passwort-Manager mit einer Passphrase zu kombinieren. Das Master-Passwort, also das Passwort, das Ihren Passwort-Manager aufsperrt, ist schließlich der Schlüssel zu Ihrer gesamten Identität und sollte dementsprechend möglichst sicher sein. Wenn Sie dafür eine Passphrase verwenden, machen Sie Ihren Tresor noch sicherer.
Unsere Top 3 Passwort-Manager
Das Konzept Passwort-Manager hat Sie überzeugt? Dann müssen Sie nur noch einen Account bei einem Anbieter Ihrer Wahl erstellen. Die Auswahl ist jedoch groß. Wir haben im EXPERTE.de Passwort-Manager-Test 14 Anbieter genauer unter die Lupe genommen – hier sind unsere Favoriten:
Dashlane
Dashlane ist ein souveräner Passwort-Manager, der aktuell das beste Gesamtpaket auf dem Markt bietet. Das automatische Ausfüllen funktioniert zuverlässig, die Bedienung ist erstklassig und darüber hinaus gibt es praktische Extra-Funktionen wie den automatischen Password-Changer. Premium-Abonnenten können sich über viele weitere praktische Features freuen, beispielsweise ein VPN.
1Password
1Password punktet mit starken Sicherheitsfeatures: Da wäre der lokal erzeugte 128-bit Secret Key, der für den Login von einem neuen Gerät aus nötig ist. Außerdem gibt es einen praktischen Reise-Modus, mit dem Sie ausgewählte Tresore während einer Reise automatisch von Ihren Geräten entfernen können. Dies gibt Ihnen beispielsweise bei Inspektionen mehr Sicherheit. Aber auch die Grundfunktionen, von Autofill bis zum Sicherheitszentrum, deckt 1Password zuverlässig ab.
Keeper
Ein großes Plus von Keeper ist, dass Sie bei der Konfigurierung Ihrer Datensätze, also den gespeicherten Accounts oder Identitäten, viele Freiheiten haben: Sie können benutzerdefinierte Felder anlegen oder ausgewählte Bereiche mit zeitbasierten Einmalpasswörtern zusätzlich absichern. Darüber hinaus bietet Keeper eine intuitive Bedienung und macht auch beim automatischen Ausfüllen eine gute Figur.
Ausführliche Rezensionen zu diesen und vielen weiteren Passwort-Managern finden Sie in unserem Passwort-Manager-Vergleich.
Fazit
Eine gute Passphrase ist länger und somit in der Regel sicherer als ein einfaches Passwort. Die Wörter der Passphrase sollten dabei willkürlich gewählt sein und können mit Zahlen und Sonderzeichen noch sicherer gemacht werden. Ein Vorteil der Passphrase ist, dass man sie sich mit Eselsbrücken besser merken kann als sichere Passwörter, die aus willkürlichen Zeichenkombinationen bestehen sollten.
Weil Sie jedoch für jeden Dienst ein einzigartiges Passwort benötigen, sind Passphrasen aufgrund ihrer Länge etwas unpraktisch, zumal sichere Passwörter meist schon sicher genug sind. Zudem empfehlen wir ohnehin die Verwendung eines Passwort-Managers, mit dem Sie sichere Passwörter automatisch erstellen und benutzerfreundlich verwalten können. Wer auf Nummer sicher gehen möchte, kann eine Passphrase als Master-Passwort des Passwort-Managers verwenden.
Ob und wie sicher Ihr Passwort ist, erfahren Sie im EXPERTE.de Passwort-Check.