PrivacyNotes beta

Hilfe & FAQ/Sicherheit & Privatsphäre

Warum eine Wiederherstellungsphrase statt Benutzername und Passwort?

Es fühlt sich zuerst verkehrt an, aber eine einzelne Wiederherstellungsphrase ist die stärkere Konstruktion. Bei Benutzername und Passwort ist der Benutzername kein Geheimnis (er taucht in jedem Breach-Dump auf), die ganze Sicherheit hängt also am Passwort - und von Menschen gewählte Passwörter kommen im Schnitt auf vielleicht 30 bis 40 Bit Entropie. Deine 12-Wort-Phrase sind garantierte 128 Bit, von deinem Gerät generiert, nie von einem Menschen gewählt und nie von einer anderen Website wiederverwendet.

Es gibt bei uns auch nichts zu verlieren. Ein Passwort-Login heißt, der Server speichert mindestens einen Passwort-Hash, der geleakt, geknackt oder gephisht werden kann. Deine Phrase verlässt dein Gerät nie: Sie leitet deine Verschlüsselungsschlüssel lokal ab, und der Server sieht immer nur verschlüsselte Daten. Es gibt keinen Hash zu stehlen und keinen Passwort-Reset, den ein Angreifer missbrauchen könnte.

Falls dir das Eintippen von 12 Wörtern umständlich vorkommt: Du kannst die Phrase mit einem Tipp in deinen Passwort-Manager übernehmen (Einstellungen > Sicherheit > Deine Phrase), und die Anmeldung fühlt sich an wie jeder andere Login. Lieber der vertraute Weg? Anmelden mit Google oder Apple geht auch, und unter der Haube bekommst du trotzdem eine Phrase.