Passphrase vs Passwort: Entropie und Sicherheit erklärt
Verstehen Sie die Mathematik hinter der Passwort-Entropie und lernen Sie, wann Passphrasen traditionelle Passwörter übertreffen. Enthält Entropie-Berechnungen, Diceware-Methodik und praktische Empfehlungen.
Wissenswert
Das Entropie-Problem: Warum die meisten Passwörter versagen
Jedes Passwort hat eine messbare Eigenschaft namens Entropie — die Anzahl der Zufälligkeitsbits. Höhere Entropie bedeutet mehr mögliche Kombinationen. Ein Passwort mit 50 Bits hat 2^50 Möglichkeiten. Bei einer Milliarde Versuche pro Sekunde dauert das etwa 13 Tage. Bei 80 Bits würde selbst eine Billion Versuche pro Sekunde 38.000 Jahre dauern.
Die entscheidende Erkenntnis ist, dass Entropie davon abhängt, wie das Passwort generiert wurde, nicht wie es aussieht. "Tr0ub4dor&3" hat nur etwa 28 Bits Entropie. Hingegen bieten "correct horse battery staple" etwa 52 Bits mit der EFF-Wortliste.
Die meisten Passwort-Richtlinien konzentrieren sich auf Zeichenkomposition statt auf tatsächliche Entropie. "Summer2026!" erfüllt jede Komplexitätsanforderung, fällt aber in Sekunden einem Wörterbuchangriff zum Opfer.
Wie Passwort-Entropie berechnet wird
Für ein wirklich zufälliges Passwort: Entropie = log₂(C^L). Ein 12-Zeichen-Passwort aus einem 95-Zeichen-Satz hat ≈ 79 Bits.
Für Passphrasen: Entropie = log₂(W^N). Mit der EFF-Liste (7.776 Wörter): 4 Wörter ≈ 51,7 Bits; 5 Wörter ≈ 64,6 Bits; 6 Wörter ≈ 77,5 Bits; 7 Wörter ≈ 90,5 Bits.
Diese Berechnung nimmt an, dass der Angreifer Ihre Generierungsmethode kennt — die konservative, realistische Sicherheitsmessung.
- 8 zufällige Zeichen (a-z): log₂(26^8) ≈ 37,6 Bits
- 12 zufällige Zeichen (a-z, A-Z, 0-9, Symbole): log₂(95^12) ≈ 78,8 Bits
- 4 Diceware-Wörter: log₂(7776^4) ≈ 51,7 Bits
- 6 Diceware-Wörter: log₂(7776^6) ≈ 77,5 Bits
- 16 zufällige Zeichen (volles ASCII): log₂(95^16) ≈ 105 Bits
- 8 Diceware-Wörter: log₂(7776^8) ≈ 103,4 Bits
Das Argument für Passphrasen
Passphrasen bieten einen einzigartigen Vorteil: Sie tauschen Zeichenkomplexität gegen Länge und erreichen hohe Entropie bei gleichzeitiger Merkbarkeit. Eine Sechs-Wort-Phrase hat etwa 78 Bits Entropie — vergleichbar mit einem zufälligen 12-Zeichen-Passwort.
Der Merkbarkeitsfaktor ist nicht nur Komfort — er ist ein Sicherheitsvorteil. Wenn Passwörter schwer zu merken sind, notieren Benutzer sie unsicher oder verwenden sie wieder.
Passphrasen widerstehen auch dem Schulter-Surfen besser als Zeichenpasswörter.
Die Diceware-Methode, ursprünglich 1995 von Arnold Reinhold entwickelt, verwendet physische Würfel zur Wortauswahl. Die EFF aktualisierte die Wortliste 2016 mit nur gebräuchlichen, leicht zu buchstabierenden englischen Wörtern.
Das Argument für zufällige Passwörter
Zufällige Passwörter erreichen höhere Entropie pro Zeichen. Ein 16-Zeichen-Passwort bietet etwa 105 Bits — man bräuchte 8 Diceware-Wörter, um das zu erreichen.
Für vom Passwort-Manager verwaltete Konten sind zufällige Passwörter streng überlegen, da die Merkbarkeit irrelevant ist.
Zufällige Passwörter sind auch kompakter, was bei Systemen mit niedrigen Längenbegrenzungen wichtig ist.
Der Hauptnachteil ist, dass sie unmöglich zu merken sind. Wenn Sie den Zugang zum Manager verlieren, hängt die Wiederherstellung von Ihrer Backup-Strategie ab.
Wann welcher Ansatz verwendet werden sollte
Verwenden Sie Passphrasen für: Ihr Master-Passwort; Computer-Anmeldung; Telefon-PINs; Festplattenverschlüsselung; und jede Anmeldung, bei der Sie nicht auf Auto-Fill vertrauen können.
Verwenden Sie zufällige Passwörter für: alle Konten im Manager; API-Schlüssel; Service-Konten; Datenbank-Passwörter.
Für maximale Sicherheit kombinieren Sie beide Ansätze: eine starke Passphrase als Master-Passwort und einzigartige zufällige Passwörter für jedes einzelne Konto.
Ihre Passphrase stärken
Beginnen Sie mit mindestens 5 Wörtern für persönliche Konten und 6-7 für hochwertige Ziele. Verwenden Sie die EFF-Liste oder eine gleichwertige mit mindestens 7.776 Einträgen.
Erwägen Sie eine oder zwei Modifikationen: ein zufälliges Wort großschreiben, eine Ziffer einfügen oder ein ungewöhnliches Trennzeichen verwenden.
Wählen Sie nie selbst Wörter aus. Die menschliche Wortauswahl ist stark zu gebräuchlichen Wörtern verzerrt. Verwenden Sie immer Würfel oder einen kryptographischen Generator.
- Mindestens 5 Wörter für Standardkonten, 6-7 für kritische
- Würfel oder CSPRNG verwenden — nie manuell wählen
- Eine kleine Modifikation hinzufügen (Großschreibung, Ziffer, Trennzeichen)
- Wortliste mit 7.776+ Einträgen verwenden (EFF Diceware)
- Tippen üben, bis Muskelgedächtnis entsteht
- Schriftliche Kopie an physisch sicherem Ort aufbewahren
Fazit
Sowohl Passphrasen als auch zufällige Passwörter können bei korrekter Verwendung hervorragende Sicherheit bieten. Die Wahl hängt vom Kontext ab: Passphrasen für das menschliche Gedächtnis, zufällige Passwörter für maschinelle Verwaltung.
Welche Methode auch immer — der wichtigste Faktor ist Einzigartigkeit. Eine perfekte Passphrase, die auf drei Seiten wiederverwendet wird, ist weit weniger sicher als drei mittelmäßige, aber einzigartige Passwörter.
Was tun mit einem starken Passwort?
Ein starkes Passwort ist nur der erste Schritt. Um Ihre Konten wirklich zu schützen, brauchen Sie einen zuverlässigen Passwort-Manager, der Ihre Zugangsdaten speichert, automatisch ausfüllt und über alle Geräte synchronisiert.
Wir haben die beliebtesten Passwort-Manager 2026 verglichen, um Ihnen bei der richtigen Wahl zu helfen.
NordPass überzeugt durch XChaCha20-Verschlüsselung mit Zero-Knowledge, integrierte Passkey-Unterstützung und die intuitivste Oberfläche unter den Premium-Managern.
| Funktion | NordPass | 1Password | Bitwarden Free |
|---|---|---|---|
| Preis/Monat | $1.49/mo | $2.99/mo | $0 |
| Geräte | Unbegrenzt | Unbegrenzt | Unbegrenzt |
| Passkeys | Ja | Ja | Nein |
| Leak-Scanner | Ja | Ja | Nein |
| 2FA integriert | Ja | Ja | Ja |
| Sicheres Teilen | Ja | Ja | Begrenzt |
| Auto-Ausfüllen | Ja | Ja | Ja |
Dies ist ein Affiliate-Link. Bei einem Kauf erhalte ich möglicherweise eine Provision — das hilft, die Seite kostenlos zu betreiben.