About
Ansicht in Deutsch Auf Englisch wechseln

Passwortgenerator

Generiere starke Zufallspasswörter. Verwendet die Web Crypto API — dieselbe Zufallsquelle, die Browser für TLS-Schlüssel verwenden.

  1. Ziehe den Längen-Schieberegler, um die gewünschte Anzahl von Zeichen auszuwählen (4 bis 128).
  2. Markiere die Zeichenklassen, die du einschließen möchtest — Großbuchstaben, Kleinbuchstaben, Ziffern, Symbole.
  3. Markiere optional Ähnliche vermeiden, um I l 1 O 0 auszulassen.
  4. Klicke auf Generieren, wenn du ein neues möchtest (jede Änderung generiert auch automatisch neu).
  5. Klicke auf Kopieren, um es in die Zwischenablage zu legen, füge es dann in deinen Passwortmanager ein.
Was macht es?

Dieser Generator baut ein Passwort auf, indem jedes Zeichen unabhängig aus dem von dir ausgewählten Alphabet gezogen wird, unter Verwendung der Web Crypto API des Browsers für Zufälligkeit. Das ist dieselbe kryptografisch sichere Quelle, die Browser zur Generierung von TLS-Sitzungsschlüsseln verwenden — es ist nicht das verzerrte Math.random(), auf das sich die meisten Ad-hoc-Generatoren verlassen. Eine Ablehnungsstichproben-Schleife stellt sicher, dass jedes Symbol im Alphabet die gleiche Wahrscheinlichkeit hat, sodass Entropieschätzungen tatsächlich halten.

Beispiel

Länge 20, alle vier Klassen, Ähnliche erlaubt:

G7#vQ2xP!mK9nR4sT&bL

Länge 24, nur Buchstaben und Ziffern (für Websites, die Symbole ablehnen):

k3Hq8RmZ5nPv2WyTb6JsXfLd

Häufige Fallstricke bei Verwendung eines generierten Passworts

  • Website lehnt bestimmte Symbole ab. Einige Websites entfernen oder verweigern still <, >, Anführungszeichen oder Leerzeichen. Wenn die Website das Passwort nicht akzeptiert, schalte die Klasse Symbole aus und erhöhe die Länge auf 24+, um zu kompensieren.
  • Kopieren-Einfügen fügt ein nachgestelltes Leerzeichen hinzu. Doppelklick-Auswahl auf einigen Betriebssystemen erfasst ein zusätzliches Leerzeichen. Wenn die Anmeldung fehlschlägt, füge zuerst in ein einfaches Textfeld ein und überprüfe, ob die Länge übereinstimmt.
  • Zu kurz "aus Bequemlichkeit". Ein Passwort mit 8 Zeichen hat etwa 50 Bit Entropie — in Stunden offline auf einer modernen GPU zu knacken. Verwende 16+ für Routine-Konten, 20+ für alles, was Daten im Ruhezustand verschlüsselt.
  • Ein Passwort für mehrere Konten verwenden. Ein starkes Passwort, das auf einer gehackten Website wiederverwendet wird, ist immer noch kompromittiert. Generiere ein eindeutiges pro Konto und speichere sie in einem Passwortmanager.
  • Passwortrotations-Richtlinien vergessen. Einige Unternehmenssysteme erzwingen alle 90 Tage eine Änderung. Speichere das generierte Passwort in deinem Manager, damit du bestätigen kannst, dass es genau übereinstimmt, wenn die Website dich bittet, es erneut einzugeben.
  • Screenshots oder Zwischenablage-Verlauf. macOS, Windows und mehrere Zwischenablage-Manager behalten Verlauf. Leere die Zwischenablage oder füge etwas anderes ein, nachdem du das Passwort gespeichert hast.
Häufig gestellte Fragen

Ist dieser Passwortgenerator kryptografisch sicher?

Ja. Zufälligkeit kommt von crypto.getRandomValues(), der Web Crypto API des Browsers, die TLS-Sitzungsschlüssel stützt. Es ist nicht Math.random(), das ein vorhersagbarer Pseudo-Zufallsgenerator ist, der für Geheimnisse ungeeignet ist. Jedes Zeichen wird mit Ablehnungsstichprobe gezogen, sodass jedes Symbol im Alphabet die gleiche Wahrscheinlichkeit hat.

Wie lang sollte mein Passwort sein?

Für Online-Konten mit Ratenbegrenzung sind 16 Zeichen aus gemischten Klassen ausreichend. Für alles, was verschlüsselte Daten offline schützt (Passwortmanager, Festplattenverschlüsselung, Backups), verwende 20 oder mehr. Ein 20-Zeichen-Passwort aus allen vier Klassen hat etwa 130 Bit Entropie, was außerhalb der Brute-Force-Reichweite liegt.

Speichert ihr die Passwörter, die dieses Tool generiert?

Nein. Wir speichern die Passwörter nicht, die du hier generierst. Jedes Passwort wird einmal angezeigt, nur im sichtbaren Eingabefeld gehalten und verschwindet in dem Moment, in dem du den Tab aktualisierst oder schließt. Nichts wird in den Speicher geschrieben oder auf unserer Seite protokolliert. Du kannst es in den Entwicklertools deines Browsers überprüfen, wenn du zusätzliche Sicherheit möchtest.

Was ist Entropie und wie viele Bits brauche ich?

Entropie misst Unvorhersagbarkeit in Bits. Jedes Bit verdoppelt die Anzahl der Vermutungen, die ein Angreifer versuchen muss. 60 Bit widerstehen gelegentlichen Offline-Angriffen, 80 widerstehen entschlossenen, und 128 ist der moderne Standard für starke Schlüssel. Ein 20-Zeichen-Passwort aus einem 90-Symbol-Alphabet ist etwa 130 Bit.

Sollte ich eine Passphrase anstelle eines zufälligen Passworts verwenden?

Eine Passphrase aus 5 oder 6 zufälligen Wörterbuchwörtern ist einfacher einzugeben und zu merken und kann ähnliche Entropie erreichen (etwa 65 bis 80 Bit). Aber für Passwörter, die du in einem Manager speicherst und nie eingibst, ist ein zufälliges Zeichen-Passwort bei gleicher Stärke kürzer. Dieses Tool generiert Letzteres.

Warum lehnt eine Website die Symbole in meinem generierten Passwort ab?

Einige Websites verweigern bestimmte Symbole wie <, >, Anführungszeichen oder Leerzeichen wegen schlechter Eingabebehandlung auf ihrer Seite. Wenn ein Passwort abgelehnt wird, hebe die Auswahl von Symbole auf und generiere stattdessen ein längeres Buchstaben-plus-Ziffern-Passwort. Länge kompensiert das kleinere Alphabet in Bezug auf Entropie.