Passwort-Tool Zurück zum Generator

Sicherheitsleitfaden

Passwort vs Passphrase

Vergleich von zufälligen Zeichen-Passwörtern und zufälligen Wort-Passphrasen, einschließlich Merkbarkeit, Entropie, Speicherung und sicheren Anwendungsfällen.

Zusammenfassung

Ein Passwort ist normalerweise eine Zeichenkette aus zufälligen Zeichen. Eine Passphrase ist normalerweise eine Folge von Wörtern. Beide können stark sein, wenn sie zufällig generiert, einzigartig und sicher gespeichert oder gemerkt werden. Die richtige Wahl hängt davon ab, ob Sie maximale Kompaktheit, einfache Eingabe oder Merkbarkeit benötigen.

Verwenden Sie den Passphrase-Generator, wenn Sie zufällige Wörter wünschen, oder den Passwort-Generator, wenn eine Website ein kompaktes Zeichen-Passwort erwartet.

Zufällige Zeichen-Passwörter

Zufällige Zeichen-Passwörter sind effizient: Jedes Zeichen kann den Suchraum vergrößern. Sie sind ideal für Passwort-Manager, Admin-Panels, WLAN, Banking, E-Mail und Entwickler-Geheimnisse. Der Nachteil ist, dass sie schwer zu merken und auf kleinen Tastaturen unangenehm einzugeben sind.

Zufällige Wort-Passphrasen

Passphrasen sind leichter zu lesen und einzugeben. Das wichtige Wort ist „zufällig“. Ein selbst erfundener Satz, ein Zitat, ein Liedtext oder eine vertraute Phrase kann von muster-basierten Tools erraten werden. Eine Passphrase sollte aus unabhängig ausgewählten Wörtern einer ausreichend großen Liste bestehen.

Praktische Empfehlungen

Detaillierte Anleitung

Dieser Leitfaden konzentriert sich auf die Entscheidung zwischen zufälligen Zeichen-Passwörtern und zufälligen Passphrasen. Er richtet sich an Personen, die sowohl sichere gespeicherte Passwörter als auch merkbare Anmeldegeheimnisse benötigen. Das praktische Ziel ist es daher nicht, eine dramatische Sicherheitsbehauptung aufzustellen. Das Ziel ist es, eine Passwort-Gewohnheit zu wählen, die den Alltag übersteht: Anmeldeformulare, Passwort-Manager, mobile Tastaturen, Kontowiederherstellung, gemeinsam genutzte Geräte und gelegentliche Dienste mit seltsamen Validierungsregeln. Eine sichere Empfehlung ist nur nützlich, wenn eine reale Person sie konsequent befolgen kann.

Der sicherste Ausgangspunkt ist Zufälligkeit plus Einzigartigkeit. Zufälligkeit bedeutet, dass der Wert aus einem großen Raum von einer kryptographisch geeigneten Zufallsquelle ausgewählt wird, nicht aus einem Geburtstag, einem Haustiernamen, einem Tastaturmuster oder einem Lieblingszitat erfunden. Einzigartigkeit bedeutet, dass dasselbe Passwort nirgendwo anders verwendet wird. Ein Passwort, das lang ist, aber wiederverwendet wird, kann schnell nach einem einzigen unabhängigen Datenleck versagen, während ein einzigartiges zufälliges Passwort den Schaden auf das einzelne Konto begrenzt, in dem es verwendet wurde.

Für dieses Thema ist eine praktische Voreinstellung vier bis sechs zufällige Wörter für die Merkbarkeit oder zufällige Zeichen für die Speicherung im Passwort-Manager. Sie können diese Voreinstellung mit dem Passphrase-Generator anwenden und den endgültigen Wert dann in einem vertrauenswürdigen Passwort-Manager speichern. PwdGen generiert Werte lokal im Browser mit Web Crypto; das generierte Passwort wird nicht an einen PwdGen-Server gesendet. Dieses lokale Design reduziert die Server-Exposition, schützt aber nicht vor jeder Bedrohung. Eine bösartige Browser-Erweiterung, ein kompromittiertes Gerät, eine Phishing-Seite oder unsichere Zwischenablage-Handhabung können ein Geheimnis nach der Generierung dennoch offenlegen.

Die häufigsten Probleme, die es zu vermeiden gilt, sind handschriftliche Phrasen, berühmte Zitate, Liedtexte, persönliche Slogans und von Menschen ausgewählte Wörterbuchphrasen. Diese Probleme sind wichtig, weil Angreifer selten jedes mögliche Passwort brute-forcen müssen, wenn menschliche Gewohnheiten ihnen eine Abkürzung bieten. Credential Stuffing, Phishing, geleakte Passwortlisten und Missbrauch der Kontowiederherstellung sind oft realistischer als eine reine mathematische Suche. Deshalb kombiniert der beste Rat Passwortqualität mit Kontrollen auf Kontenebene wie MFA, Passkeys, Wiederherstellungscode-Speicherung und regelmäßige Überprüfung der Wiederherstellungs-E-Mail oder Telefonnummer.

Verwenden Sie diese Checkliste, wenn Sie die Empfehlung anwenden:

Wenn eine Website die ideale Einstellung ablehnt, erzwingen Sie das Passwort nicht von Hand in ein schwächeres Muster. Passen Sie jeweils eine Variable an. Wenn Symbole abgelehnt werden, aktivieren Sie Großbuchstaben, Kleinbuchstaben und Zahlen und erhöhen Sie die Länge. Wenn eine maximale Länge niedrig ist, verwenden Sie die größte akzeptierte Länge und stellen Sie sicher, dass der Wert einzigartig ist. Wenn ein Passwort laut vorgelesen, ausgedruckt oder auf einem Fernseh- oder Router-Bildschirm eingegeben werden muss, erwägen Sie, verwirrende Zeichen auszuschließen und die Länge zu erhöhen, um das kleinere Alphabet auszugleichen.

Denken Sie schließlich an die Grenzen von Passwort-Ratschlägen. Ein starkes Passwort ist eine Verteidigungsschicht, keine Garantie. Es kann keine Phishing-Seite sicher machen, Malware beheben oder einen Dienst kompensieren, der Anmeldedaten schlecht speichert. Die nützliche Gewohnheit ist langweilig, aber beständig: Generieren Sie einen eindeutigen Wert, speichern Sie ihn sicher, schützen Sie den Wiederherstellungspfad und ersetzen Sie ihn schnell, wenn Sie einen Verdacht auf Offenlegung haben.

Häufig gestellte Fragen

Ist eine Passphrase immer stärker als ein Passwort?

Nein. Eine zufällige Passphrase kann stark sein, aber ein vertrautes Zitat oder ein Satz ist nicht gleichbedeutend mit zufällig ausgewählten Wörtern.

Wann sollte ich eine Passphrase wählen?

Wählen Sie eine Passphrase, wenn Sie sie sich möglicherweise merken oder manuell eingeben müssen, insbesondere für die Master-Anmeldedaten eines Passwort-Managers.

Wie viele Wörter sollte eine Passphrase verwenden?

Vier zufällige Wörter sind ein praktischer Ausgangspunkt; fügen Sie für höherwertige Anwendungen oder kleinere Wortlisten weitere Wörter hinzu.

Quellen