Passwort-Generator
Kryptografisch sichere Passwörter erstellen – Länge, Zeichenklassen und Anzahl frei wählbar. Alles lokal, kein Server.
Häufige Fragen
Sicherheitsexperten empfehlen heute mindestens 16 Zeichen. Ein 16-stelliges Passwort mit Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen erreicht über 100 Bit Entropie und gilt damit als sehr stark. Für besonders sensible Konten (Bank, E-Mail, Passwort-Manager) sind 20 Zeichen oder mehr sinnvoll.
Entscheidend sind zwei Faktoren: Länge und Zeichenvielfalt. Längere Passwörter und mehr mögliche Zeichen erhöhen die sogenannte Entropie – die Anzahl der Bits, die ein Angreifer erraten müsste. Ein Passwort gilt als sicher, wenn es zufällig generiert wurde, nicht in Wörterbüchern vorkommt und für jeden Dienst eindeutig ist.
Aktuelle Empfehlungen des BSI und NIST raten nicht mehr zum regelmäßigen Ändern ohne Anlass. Ein starkes, einzigartiges Passwort sollte geändert werden, wenn ein Dienst gehackt wurde (z. B. über haveibeenpwned.com prüfen), wenn der Verdacht auf Kompromittierung besteht oder wenn man das Passwort versehentlich weitergegeben hat.
Nein. Dieser Generator läuft vollständig im Browser – es wird keine Verbindung zu einem Server hergestellt und keine einzige Zeichenkette übertragen oder gespeichert. Der Zufallsgenerator nutzt die Web Crypto API (crypto.getRandomValues), die vom Browser selbst bereitgestellt wird.
Entropie misst in Bit, wie viele Versuche ein Angreifer im schlimmsten Fall benötigt (2 hoch Entropie). Passwortstärke ist ein vereinfachtes Label daraus. Ein Passwort mit 128 Bit Entropie würde selbst mit einem Supercomputer Milliarden Jahre zum Knacken benötigen. Daumen: unter 40 Bit schwach, ab 80 Bit stark, ab 100 Bit sehr stark.
Sichere Passwörter: Warum Zufall entscheidend ist
Die häufigste Schwachstelle bei Passwörtern ist nicht die Länge, sondern die Vorhersagbarkeit. Passwörter wie „Sommer2024!" folgen Mustern, die Angreifer in Wörterbuchattacken systematisch ausprobieren. Nur echte Zufälligkeit – erzeugt durch einen kryptografisch sicheren Zufallsgenerator – schützt zuverlässig.
Warum crypto.getRandomValues statt Math.random?
JavaScript's Math.random() ist kein kryptografisch sicherer Zufallsgenerator: Seine Ausgaben sind vorhersagbar, wenn der interne Zustand bekannt ist. crypto.getRandomValues() nutzt dagegen vom Betriebssystem gelieferte Entropie (Tastatureingaben, Netzwerkbewegungen, Hardware-Jitter) und ist für Sicherheitsanwendungen ausgelegt. Dieser Generator verwendet ausschließlich diese Methode.
Entropie verstehen: Bits als Maß für Sicherheit
Entropie in Bit berechnet sich als Länge × log₂(Zeichensatzgröße). 16 Zeichen aus 95 möglichen Zeichen (26 Groß + 26 Klein + 10 Zahlen + 33 Sonderzeichen) ergeben 16 × 6,57 ≈ 105 Bit. Ein Angreifer müsste im Schnitt 2¹⁰⁴ Versuche machen – mit einem Billion-Hashes-pro-Sekunde-System dauert das länger als das Alter des Universums.
