Password Generator
Generate secure, random passwords client-side
Symbol set:
!@#$%&*-_=+.?
Wie dieser Generator funktioniert
Jedes Zeichen wird aus crypto.getRandomValues() gezogen — derselbe kryptografische Zufallszahlengenerator, den Ihr Browser für TLS-Handshakes und WebCrypto-Operationen verwendet. Er zieht Entropie aus dem Kernel Ihres Betriebssystems, nicht aus einem JavaScript-Math.random()-Polyfill.
Wir wenden außerdem Rejection Sampling an, wenn wir Zufallsbytes auf Zeichen-Indizes abbilden. Dies ist ein kleines Detail, das die meisten Passwort-Generatoren falsch machen: Wenn Sie einfach zufallsByte % zeichensatzGröße rechnen, führen Sie eine kleine, aber reale Verzerrung zugunsten der niedrigeren Zeichen im Satz ein (weil 256 nicht gleichmäßig durch z. B. 94 teilbar ist). Die Verzerrung ist meist zu klein, um relevant zu sein, aber für ein Werkzeug, das explizit als kryptografisches vermarktet wird, ist Korrektheit wichtig.
Die zwei Symbol-Sätze, erklärt
Die Auswahl von Symbolzeichen für Passwörter ist schwieriger, als es scheint. Der vollständige Symbolsatz (!@#$%^&*()-_=+[]{};:,.<>?/|~\'\"\\`) liefert mehr Entropie pro Zeichen, schafft aber Reibung:
- Bank- und Behörden-Websites lehnen bestimmte Symbole oft stillschweigend ab.
- Veraltete Formularvalidierer entfernen oder kodieren Symbole als HTML.
- Mobile Tastaturen machen
{und~unhandlich.
Standardmäßig verwenden wir einen sicheren Satz (!@#$%&*-_=+.?), der in 95 %+ der Formulare funktioniert. Wenn Sie maximale Entropie benötigen und das Ziel alles akzeptiert, aktivieren Sie "Erweiterter Satz" für den vollständigen Satz.
Was "stark" bedeutet
Der Stärke-Balken basiert auf Shannon-Entropie — der Anzahl der Zufalls-Bits in Ihrem Passwort. Jedes Bit verdoppelt die Anzahl der benötigten Versuche, um es per Brute Force zu knacken.
| Bewertung | Entropie | Brute-Force-Zeit bei 1 Billion Versuchen/Sek |
|---|---|---|
| Schwach | < 28 Bit | Sekunden |
| Mäßig | 28–49 Bit | Stunden bis Tage |
| Stark | 50–71 Bit | Jahrzehnte |
| Sehr stark | 72+ Bit | Jahrhunderte |
Warum nichts gespeichert wird
Diese Seite speichert Ihr Passwort nirgendwo. Die generierte Zeichenkette lebt im Browser-Speicher, bis Sie neu laden, kopieren oder ein neues generieren. Kein localStorage, keine Fetch-Aufrufe, keine Analytics-Events mit dem Passwort. Die Seite generiert nicht einmal automatisch eines beim Laden — Sie drücken Generieren, wenn Sie eines möchten.
Online- vs Offline-Angriffe — warum dasselbe Passwort gleichzeitig "schwach" und "in Ordnung" ist
Wenn du ein Passwort in ein Web-Login-Formular eingibst, wird dein Versuch vom Server der Seite geprüft. Moderne Dienste überwachen das genau: nach drei oder fünf falschen Versuchen wird das Konto vorübergehend gesperrt, ein Captcha verlangt, oder eine "verdächtige Aktivität"-E-Mail ausgelöst. Selbst mit einer geleakten Passwortliste kann ein Angreifer vielleicht 5-10 Versuche pro Minute machen, bevor er blockiert wird — und selbst mit einer kleinen Armee von Bots, die die Versuche verteilen, ist es schwierig, über ein paar hundert pro Stunde hinauszukommen. Das nennt sich Rate Limiting (Ratenbegrenzung). Gegen einen Angreifer, der auf ein paar hundert Versuche pro Stunde begrenzt ist, ist ein 8-Zeichen-Passwort in Kleinbuchstaben (28 Bit Entropie, ~200 Milliarden Möglichkeiten) in Ordnung. Er kann einfach nicht genug versuchen.
Das Katastrophenszenario ist anders. Seiten werden gehackt, Datenbanken werden geleakt, Passwort-Tresore werden gestohlen, verschlüsselte Backups werden exfiltriert. Wenn das passiert, hat der Angreifer eine *Kopie* der Daten auf seiner eigenen Maschine. Kein Rate Limit. Keine Sperrung. Er kann eine GPU-Farm darauf loslassen — Milliarden von Versuchen pro Sekunde. Das gleiche 8-Zeichen-Passwort, das ewig gegen das Web-Login gehalten hat, fällt in ein paar Sekunden. Das Bedrohungsmodell kippt in dem Moment, in dem die Daten die kontrollierte Umgebung des Servers verlassen.
Deshalb erscheint dasselbe Passwort als "schwach" auf der Leiste, obwohl es für die meisten Verwendungen vollkommen sicher ist. Die Leiste geht vom Worst Case aus: jemand hat den verschlüsselten Blob und kann ihn offline mit voller Geschwindigkeit angreifen.
Was ein Passwort-Manager wirklich für dich tut
Ein Passwort-Manager löst das Offline-Angriffsproblem auf eine Weise, die Menschen allein nicht können: er lässt dich ein einzigartiges, zufälliges Passwort mit 20+ Zeichen für jede einzelne Seite verwenden, ohne dass dein Gehirn sich irgendeines davon merken muss. Du merkst dir ein Master-Passwort — deins, sorgfältig gewählt, lang, idealerweise mit Wörtern, die du nie vergessen wirst — und der Manager kümmert sich um alles andere. Wenn eine Seite gehackt wird, ist nur dieses eine Passwort exponiert, und es ist eine 20-stellige zufällige Zeichenkette, die kein Offline-Angriff in nützlicher Zeit knacken wird. Der Explosionsradius sinkt von "alle meine Konten" auf "dieses eine Konto, das ich rotieren werde".
Wenn du heute keinen Passwort-Manager benutzt, kann das das größte Passwort-Sicherheits-Upgrade sein, das dir zur Verfügung steht, und es kostet weniger als ein Kaffee pro Monat (oder ist in manchen Fällen kostenlos). Unser Generator existiert für den Moment, in dem du ein starkes zufälliges Passwort brauchst und nicht nachdenken willst — aber das Passwort, das er dir gibt, ist am nützlichsten, wenn es irgendwo dauerhaft gespeichert ist, nicht auswendig gelernt.