Passwortgenerator
Wählen Sie eine Länge, aktivieren Sie Großbuchstaben, Kleinbuchstaben, Zahlen und Symbole, und dieser Generator erstellt ein Passwort mit dem kryptografischen Zufallszahlengenerator Ihres Browsers — derselbe Entropiequelle, die die SSL-Schlüsselgenerierung und Kryptowährungs-Wallets unterstützt. Kein gesätes Pseudo-Zufalls, keine Server-Round-Trips. Ein 16-Zeichen-Passwort mit allen vier Zeichentypen bietet etwa 95 Bit Entropie, genug, um Offline-Cracking mit aktueller Hardware zu widerstehen.
Wie starke Passwörter erstellt werden
-
1
Länge wählen
Standard 16. Alles unter 12 ist für wichtige Konten schwach.
-
2
Zeichentypen auswählen
Großbuchstaben, Kleinbuchstaben, Zahlen, Symbole. Mehr Klassen = mehr Entropie pro Zeichen.
-
3
Optional: mehrdeutige Zeichen ausschließen
Lassen Sie 0/O und 1/l/I weg, wenn das Passwort vom Bildschirm auf ein Terminal übertragen wird.
-
4
Generieren
crypto.getRandomValues() wählt jedes Zeichen gleichmäßig aus dem erlaubten Set aus.
-
5
Kopieren und speichern
Fügen Sie es sofort in Ihren Passwortmanager ein. Nicht wiederverwenden.
Entropie nach Länge und Zeichensatz
| Länge | Nur Kleinbuchstaben | Kleinbuchstaben + Zahlen | Kleinbuchstaben + Großbuchstaben + Zahlen | Alle vier Klassen |
|---|---|---|---|---|
| 8 | 38 Bit | 41 Bit | 48 Bit | 52 Bit |
| 12 | 57 Bit | 62 Bit | 71 Bit | 79 Bit |
| 16 | 75 Bit | 83 Bit | 95 Bit | 105 Bit |
| 20 | 94 Bit | 103 Bit | 119 Bit | 131 Bit |
| 24 | 113 Bit | 124 Bit | 143 Bit | 158 Bit |
Was Entropie in der Praxis bedeutet
- 40 Bit — in Tagen mit einer einzelnen GPU heute knackbar. Gut für Wegwerfkonten.
- 60 Bit — widersteht Online-Angriffen, ist aber anfällig für gezieltes Offline-Cracking.
- 80 Bit — stark gegen Offline-Cracking mit aktueller Hardware.
- 100 Bit — effektiv unknackbar, bis die Quantencomputing-Technologie ausgereift ist.
- 128 Bit — entspricht der AES-128-Schlüsselstärke.
Für die meisten Online-Konten sind 16 Zeichen aus dem vollständigen Set (105 Bit) mehr als genug. Bankkonten, Master-Passwörter von Passwortmanagern, Krypto-Wallets verdienen 20+ Zeichen.
Warum Zeichentypen wichtig sind
Jede Klasse fügt Optionen pro Zeichen hinzu. Mit 26 Kleinbuchstaben trägt ein Zeichen log2(26) = 4,7 Bit bei. Das Hinzufügen von Großbuchstaben ergibt 52 Zeichen und 5,7 Bit pro Zeichen. Das Hinzufügen von Ziffern ergibt 62 Zeichen und 5,95 Bit. Das Hinzufügen von Symbolen erreicht 94 Zeichen und 6,55 Bit. Über 16 Zeichen summiert sich dieser Unterschied auf ~30 Bit — der Unterschied zwischen “knackbar” und “nicht wert, es zu versuchen.”
Wann mehrdeutige Zeichen ausgeschlossen werden sollten
Wenn das Passwort vom Bildschirm auf ein Gerät ohne Kopier- und Einfügepfad eingegeben wird — Konsoleninstallateure, einige Hardware-Wallets, ältere Benutzer, die Passwörter laut vorlesen — verhindert das Ausschließen von 0, O, 1, l, I Übertragungsfehler. Die Entropiekosten sind minimal (2-3 Bit von 80+).
Workflow für Passwortmanager
- Installieren Sie einen Passwortmanager (Bitwarden, 1Password, KeePass).
- Setzen Sie eine starke Master-Passphrase (6-8 zufällige Wörter — siehe den Passphrase-Generator).
- Verwenden Sie den Generator des Managers für jede Seite und akzeptieren Sie die standardmäßigen starken Einstellungen.
- Verwenden Sie niemals Passwörter auf verschiedenen Seiten wieder, selbst nicht für “Wegwerf”-Konten.
- Aktivieren Sie 2FA für alles, was es unterstützt.
Manuell eingegebene Passwörter sollten selten sein — nur für das Master-Passwort des Managers, die vollständige Festplattenverschlüsselung und möglicherweise Ihr Arbeitscomputer-Login.
Dinge, die nicht helfen
- Alle 90 Tage ändern. Zwangsrotation fördert vorhersehbare Muster (Sommer2024 → Herbst2024). NIST SP 800-63B empfiehlt ausdrücklich, dies zu vermeiden.
- Auf Papier in einer Brieftasche aufschreiben. Sicherer als schwache Passwörter wiederzuverwenden, aber schlechter als ein Passwortmanager.
- Sicherheitsfragen mit echten Antworten. “Erste Schule” ist für die meisten Menschen eine Google-Suche entfernt. Generieren Sie zufällige falsche Antworten und speichern Sie sie in Ihrem Manager.
Häufig gestellte Fragen
16 Zeichen aus allen vier Zeichentypen (klein, groß, Zahl, Symbol) sind für fast jedes Konto stark. 20+ für das Master-Passwort des Passwortmanagers, Krypto-Wallet und vollständige Festplattenverschlüsselung. Unter 12 ist unabhängig von den Komplexitätsregeln schwach.
Das Passwort wird in Ihrem Browser mit der Web Crypto API generiert und niemals irgendwohin gesendet. Öffnen Sie das DevTools-Netzwerk-Panel, wenn Sie es überprüfen möchten. Sie sollten es dennoch sofort in einen Passwortmanager kopieren, anstatt es zu screenshotten oder zu mailen.
Datenpannen. Wenn eine Seite Passwörter leakt, versuchen Angreifer sofort die gleiche E-Mail/Passwort-Kombination auf Hunderten anderer Seiten (Credential Stuffing). Einzigartige Passwörter pro Seite begrenzen den Schaden auf ein Konto.
Generieren Sie ein zufälliges 16-Zeichen-Passwort für diese Seite. Eine Begrenzung auf 16 oder weniger bedeutet normalerweise, dass die Seite Passwörter in einer Form speichert, die nicht gut skalierbar ist, was ein Warnsignal ist — aktivieren Sie dort besonders 2FA.