Wenn du ein System oder deine Online-Konten sicherst, ist das Festlegen eines starken Passworts das Wichtigste, was du tun kannst. Aber was ist stärker – ein Passwort aus scheinbar zufälligen Zeichen oder eine Passphrase aus mehreren zusammenhangslosen Wörtern?
Dieser Artikel erklärt, was du verwenden solltest und wann. Zunächst einmal schauen wir uns an, was eine Passphrase ist.
- Was bedeutet Passphrase?
- Das Merkproblem
- Zufälligkeit hinzufügen
- Passphrase vs. Passwort: Was solltest du verwenden?
Was bedeutet Passphrase?
Wenn du dich identifizierst, um Zugang zu einem Online-Konto oder einer Datei zu erhalten, verwendest du normalerweise irgendeine Art von Passwort. Du könntest dich auch für eine Passphrase entscheiden. Eine Passphrase ist eine Abfolge von vier oder mehr Wörtern, wobei jedes Wort in der Phrase vier oder mehr Buchstaben hat. Leerzeichen sind nicht notwendig, sodass du eine Passphrase haben kannst, die aussieht wie Tisch Stuhl Buch Kerze oder TischStuhlBuchKerze.
In ihrer Funktion sind Passphrasen dasselbe wie Passwörter, aber sie unterscheiden sich in wichtigen Punkten. Der erste und offensichtlichste Unterschied ist die Länge. Während Passwörter mindestens 15 Zeichen lang sein sollten, sind Passphrasen ihrer Natur nach meist mindestens 20 Zeichen lang.
Das ist ein riesiger Vorteil. Passwortentropie – das Maß für die Schwierigkeit eines Passworts – steigt mit der Länge. Obwohl länger nicht unbedingt sicherer bedeutet, etwas, worüber wir gleich noch mehr sprechen werden, ist die Verwendung einer Passphrase ein einfacher Weg, ein Passwort zu stärken, ohne viel Aufwand.
Trotz ihrer Länge sind Passphrasen jedoch viel leichter zu merken. Zum Beispiel ist die Tisch Stuhl Buch Kerze-Passphrase von vorhin ein einfaches Eselsbrücke, eine Methode, sich etwas zu merken. Du sitzt am Tisch auf einem Stuhl, liest ein Buch im Schein einer Kerze. Obwohl sie viel länger als das durchschnittliche Passwort ist, ist sie viel einfacher zu behalten.
Das Merkproblem
Passphrasen lösen ein riesiges Problem von Passwörtern, die schwer zu merken sind, wenn sie auch nur ansatzweise sicher sind. Während ein kurzes Wort (wie der Name deines Haustiers und das Jahr deiner Geburt) leicht im Kopf zu behalten ist, ist es auch extrem leicht zu knacken durch Wörterbuchangriffe(neues Fenster), bei denen die Software des Angreifers dein Passwort „errät“, indem sie bekannte Wortkombinationen durchläuft.
Um dieses Problem zu beheben, musst du Sonderzeichen in Passwörter einfügen, weshalb Online-Plattformen oft dazu auffordern, Zahlen und Sonderzeichen beim Erstellen deines Kontos hinzuzufügen. Indem du Zahlen, Großbuchstaben und Sonderzeichen hinzufügst, leitest du Wörterbuchangriffe in die Irre, und je zufälliger ein Passwort erscheint, desto schwerer ist es zu erraten.
Wenn du dich zum Beispiel entscheidest, das Wort Aardvark als dein Passwort zu verwenden, müsstest du es schwerer erratbar machen, indem du Zahlen hinzufügst, vielleicht die A’s durch die Zahl vier ersetzt, also 44rdv4rk. Um etwas Zufälligkeit hinzuzufügen, könntest du das erste A unverändert lassen und es vielleicht großschreiben, zur Sicherheit, und es so zu A4rdv4rk machen. Dann füge einige Symbole hinzu, um es wirklich eigenartig zu machen, sodass du am Ende mit #A4rdv@rk! endest
Das sieht alles gut aus und fügt dem Wort schöne Zufälligkeit hinzu, aber du hast das Problem jetzt nicht mehr zu einer Sicherheitsfrage gemacht, sondern zu einer Gedächtnisfrage. Wenn du dich jetzt anmeldest, das Konto vergisst und dann ein oder zwei Monate später versuchst, dich einzuloggen, wirst du Schwierigkeiten haben, dich zu erinnern, welche Buchstaben du ersetzt hast und wie. (Passwörter in einem Notizbuch zu schreiben, ist aus vielen Gründen normalerweise keine gute Idee.)
Während dein Gehirn sich „Aardvark“ problemlos merkt, ist alles andere einfach zu zufällig, um es richtig zu erinnern. Außerdem, da du Passwörter niemals wiederverwenden solltest, ist dies nur eines von Dutzenden, an die du dich erinnern musst.
Diese Spannung zwischen Sicherheit und Erinnerung wurde am besten vom Cartoonisten Randall Munroe zusammengefasst, dem Autor des wissenschaftlich orientierten Comics XKCD(neues Fenster):
Es scheint also klar, dass Passphrasen besser sind als Passwörter. Diese Argumentation stützt sich jedoch stark auf das menschliche Gedächtnis als Prämisse. Schauen wir mal, was passiert, wenn wir das aus der Gleichung nehmen.
Zufälligkeit hinzufügen
Passphrasen sind leichter zu merken und aufgrund ihrer Länge (d.h. mehr Entropie) sicherer als kurze Passwörter. Das ist jedoch nicht die ganze Geschichte. Wie besprochen, ist das schwache Glied das menschliche Gedächtnis; was wäre, wenn wir es durch das Gedächtnis eines Computers ersetzen?
Hier kommen Passwortmanager ins Spiel, Programme, die Passwörter für dich speichern und sie automatisch ausfüllen, wo immer du sie beim Surfen im Internet brauchst. Sie erleichtern das Leben, indem sie Passwörter automatisch ausfüllen, wo immer du unterwegs bist, aber wichtiger ist, dass sie auch viel Sicherheit hinzufügen, indem sie lange, komplexe Passwörter für dich generieren und merken.
Wenn du zum Beispiel unseren Passwortmanager Proton Pass verwendest, wird dir die Pass-Browsererweiterung jedes Mal, wenn du ein neues Konto auf einer Seite erstellst, anbieten, das Passwort für dich zu erstellen und zu speichern. Wo du normalerweise etwas wie unser „Aardvark“ von vorhin oder eine Kombination aus deinem Geburtsort und Geburtstag machen würdest, wird das Passwort von Proton Pass etwas wie rZa;8g=6^P”kL*3 sein, was für die meisten Menschen unmöglich zu merken ist.
Diese Art von Passwort mit über 15 Zeichen wird praktisch unmöglich durch einen Brute-Force-Angriff zu knacken sein, und du musst es dir nicht merken. Solange du einen Passwortmanager hast und ihn benutzt, um lange, komplexe Passwörter zu erstellen, ist die Debatte um Passwort vs. Passphrase irrelevant. Dein Konto ist geschützt.
Aber wie sichert man den Passwortmanager selbst? Ein zufälliges Passwort wäre großartig, aber schwer zu merken. Hier kommt die Passphrase wieder ins Spiel: Eine Passphrase wie Tisch Stuhl Buch Kerze funktioniert gut.
Passphrase vs. Passwort: Welches solltest du verwenden?
Zusammengefasst, was wir besprochen haben: Vergleicht man eine Passphrase mit einem wirklich zufälligen Passwort, ist das Passwort die bessere und sicherere Option. Das Problem liegt im menschlichen Gedächtnis. Die einzige Möglichkeit, sich ein zufälliges Passwort zu merken, ist die Verwendung eines Passwort-Managers, den du wiederum mit einer leicht zu merkenden Passphrase schützen kannst.
Natürlich musst du in diesem Fall auch sicherstellen, dass der Passwort-Manager selbst sicher, privat und benutzerfreundlich ist. Wir haben Proton Pass mit diesen Zielen im Sinn entwickelt. Es verwendet Ende-zu-Ende-Verschlüsselung, um deine Daten sicher zu halten und profitiert auch von den Schweizer Datenschutzgesetzen, die es einfach machen, deine privaten Informationen privat zu halten.
Darüber hinaus bietet es auch direkte Vorteile wie die Zwei-Faktor-Authentifizierung, die einen zusätzlichen Authentifizierungsschritt hinzufügt, falls dein Passwort auf irgendeine Weise kompromittiert wird. (Denke daran, ein gutes Passwort schützt vor Brute-Force-Angriffen, nicht vor Phishing, bei dem ein Angreifer dich dazu bringt, dein Passwort preiszugeben.)
Darüber hinaus ist es die Mission von Proton, deine E-Mails, Dateien, Passwörter und andere Daten standardmäßig privat zu halten. Insbesondere deine Anmeldungen und persönlichen E-Mail-Adressen sind Teil deiner digitalen Identität, die es ebenso zu schützen gilt wie deinen Reisepass oder Personalausweisnummern. Proton Pass bietet neben sicherem Passwortspeicher auch hide-my-email Aliase, um dir zusätzliche Privatsphäre zu bieten.
Wenn dir das zusagt, kannst du dich kostenlos für Proton Pass anmelden und dich für ein besseres Internet einsetzen.
