Passphrase

Passphrase ist eine Zeichenkette aus mehreren Wörtern, die zur Authentifizierung oder zur Ableitung kryptografischer Schlüssel genutzt wird und durch ihre Länge erheblich mehr Sicherheit bietet als ein klassisches Passwort.

Allgemeine Definition und Abgrenzung zum Passwort

Das US-amerikanische National Institute of Standards and Technology (NIST, SP 1800-21C) definiert eine Passphrase als „memorized secret consisting of a sequence of words" – also ein einprägsames Geheimnis aus einer Wortfolge. Während typische Passwörter 8 bis 16 Zeichen umfassen, kann eine Passphrase 100 oder mehr Zeichen erreichen. Diese Länge macht Brute-Force-Angriffe rechnerisch unpraktikabel: Je mehr Wörter kombiniert werden, desto astronomisch größer wird der Suchraum für einen Angreifer.

Ein klassisches Passwort setzt auf Komplexität (Sonderzeichen, Groß- und Kleinschreibung), eine Passphrase setzt auf Länge und Merkbarkeit. Vier bis fünf unverbundene Alltagswörter – etwa Tisch Kompass Regen Hügel – erzeugen mehr Entropie als ein kurzes, zeichenreiches Passwort.

Die Passphrase im Krypto-Kontext: das 25. Wort

Im Umgang mit selbstverwahrender Wallet-Infrastruktur kommt der Passphrase eine eigene, kritische Rolle zu. Nach dem BIP-39-Standard ergänzt sie die übliche 12- oder 24-Wörter-Seed-Phrase als sogenanntes 25. Wort. Dabei wird die Passphrase kryptografisch in den Schlüsselableitungsprozess einbezogen und erzeugt einen vollständig neuen, eigenständigen Wallet-Schlüsselpfad. Wer dieselbe Seed-Phrase mit einer anderen Passphrase kombiniert, erhält eine andere Wallet mit anderen Adressen und anderen Guthaben.

Der sicherheitsrelevante Vorteil ist unmittelbar: Gelangt ein Angreifer in den Besitz der physischen Seed-Phrase-Sicherung – etwa eines Metallbackups –, kann er ohne die Passphrase nicht auf die dahinterliegenden Mittel zugreifen. Die Passphrase fungiert damit als zweite, unabhängige Sicherheitsebene.

Diese Eigenschaft hat jedoch eine unbedingt zu beachtende Kehrseite: Geht die Passphrase verloren, sind die damit gesicherten Funds dauerhaft und unwiderruflich unzugänglich – auch dann, wenn die vollständige Seed-Phrase vorliegt. Eine sichere, von der Seed-Phrase getrennte Aufbewahrung ist daher keine Empfehlung, sondern eine technische Notwendigkeit.

Typische Verwendung findet die BIP-39-Passphrase bei Hardware Wallets, die diese Funktion explizit unterstützen. Sie ist auch ein Kernbestandteil des Konzepts der Hidden Wallet, bei der ein Wallet-Pfad bewusst verborgen gehalten wird.

Verwandte Begriffe

• BIP-39-Passphrase
• Hardware Wallet
• Hierarchisch deterministische Wallet