BrowserTools
Werbung
Startseite / Generatoren / Passwort- und Passphrasen-Generator

Passwort- und Passphrasen-Generator

Erzeuge lokal starke Zufallspasswörter und einprägsame Passphrasen, voll anpassbar.

Passwort- und Passphrasen-Generator wird geladen… Wenn nichts passiert, aktiviere JavaScript.

Starke, einzigartige Passwörter sind der mit Abstand wirksamste Schutz gegen Kontoübernahmen und Credential-Stuffing-Angriffe. Die Stärke eines Passworts wird in Entropie gemessen, im Grunde die Anzahl der unvorhersehbaren Bits, die ein Angreifer erraten muss. Dieses Werkzeug erzeugt kryptografisch zufällige Passwörter und gut merkbare Passphrasen vollständig in deinem Browser mithilfe von `window.crypto.getRandomValues` aus der Web Crypto API, das aus dem Entropie-Pool des Betriebssystems schöpft und für sicherheitskritische Anwendungen geeignet ist.

Häufig gestellte Fragen

Werden generierte Passwörter jemals an einen Server gesendet?
Nein. Jedes Passwort und jede Passphrase wird vollständig in deinem Browser mithilfe der Web Crypto API erzeugt. Das Ergebnis verlässt niemals dein Gerät, und mit dem Generierungsschritt ist keine Netzwerkanfrage verbunden.
Welcher Zufallszahlengenerator kommt unter der Haube zum Einsatz?
Das Werkzeug ruft `crypto.getRandomValues` auf, einen kryptografisch sicheren Pseudozufallszahlengenerator (CSPRNG), der in jeden modernen Browser eingebaut ist. Er initialisiert sich aus den Entropiequellen des Betriebssystems, etwa Hardware-Interrupts und Timing-Rauschen, wodurch seine Ausgabe unvorhersehbar und nicht reproduzierbar ist.
Wie stark ist ein Zufallspasswort mit 16 Zeichen?
Ein Passwort mit 16 Zeichen aus einem druckbaren ASCII-Satz von 94 Zeichen besitzt etwa 105 Bit Entropie. Bei einer Billion Versuchen pro Sekunde, weit mehr, als jede heutige Hardware gegen ein ordentlich gehashtes Passwort erreicht, würde es länger als das Alter des Universums dauern, es per Brute Force zu knacken.
Wann sollte ich eine Passphrase statt eines Passworts verwenden?
Verwende eine Passphrase, wenn du dir das Geheimnis merken musst, zum Beispiel das Master-Passwort deines Passwort-Managers oder einen Schlüssel zur Geräteverschlüsselung. Eine Passphrase aus 5 Wörtern aus einer Liste von 7776 Wörtern (der Diceware-Standard) liefert rund 64 Bit Entropie und ist weit leichter zu merken als eine zufällige Zeichenkette gleicher Stärke.
Wie schneidet das im Vergleich zum eingebauten Passwortvorschlag meines Browsers ab?
Vom Browser erzeugte Passwörter sind ebenfalls kryptografisch zufällig und genauso stark. Der Vorteil dieses Werkzeugs ist die Anpassbarkeit: Du kannst Länge, Zeichensätze, Wortanzahl, Trennzeichen und das Beginnen mit dem klassischen Muster steuern. Außerdem bist du nicht an das Passwort-Manager-Ökosystem eines bestimmten Browsers gebunden.
Was bedeutet 'Entropie' bei einem Passwort eigentlich?
Entropie misst, wie viele gleich wahrscheinliche Möglichkeiten ein Angreifer in Betracht ziehen muss. Jedes zusätzliche Bit Entropie verdoppelt den Suchraum. Ein Passwort mit 40 Bit Entropie hat etwa eine Billion mögliche Werte; eines mit 80 Bit ungefähr eine Trillion. Höhere Entropie übersetzt sich direkt in eine längere erwartete Knackzeit.
Kann ich Passwörter für Hochsicherheitskontexte wie Verschlüsselungsschlüssel erzeugen?
Für symmetrische Verschlüsselungsschlüssel oder anderes kryptografisches Material solltest du eine dedizierte Schlüsselableitungsfunktion wie PBKDF2 oder Argon2 verwenden, kein Textpasswort. Dieses Werkzeug eignet sich jedoch dazu, starke Passphrasen zu erzeugen, die anschließend einer KDF zugeführt werden, oder zufällige Geheimnisse zu erstellen, die vor der Speicherung gehasht werden.
Was ist der häufigste Fehler bei der Passworterzeugung?
Eine Länge zu wählen, die lang wirkt, in Wirklichkeit aber schwach ist; ein Passwort mit 8 Zeichen etwa besitzt selbst mit allen Zeichenklassen weniger als 53 Bit Entropie und lässt sich mit modernen GPU-Rigs offline in Stunden knacken. Die NIST empfiehlt inzwischen mindestens 15 bis 20 Zeichen für sensible Konten.
Unterstützt das Werkzeug das Ausschließen mehrdeutiger Zeichen wie O, 0, I und l?
Ja. Die Option zum Ausschluss mehrdeutiger Zeichen entfernt Zeichen, die visuell ähnlich sind und beim Abtippen eines Passworts von einem Bildschirm zu Übertragungsfehlern führen. Diese Option ist am nützlichsten, wenn du das Passwort laut vorlesen oder auf einem Gerät ohne Kopieren und Einfügen eingeben musst.
Was passiert, wenn ich ein Passwort erzeuge und dann den Tab schließe?
Das Passwort ist weg, das Werkzeug speichert bewusst nichts. Das ist ein Vorteil: Es verhindert, dass Zugangsdaten aus dem Browser-Speicher, dem lokalen Speicher oder aus Cookies wiederhergestellt werden. Kopiere das Ergebnis immer sofort in einen Passwort-Manager, bevor du die Seite verlässt.

Über Passwort- und Passphrasen-Generator

Entwickler nutzen starke Passwortgeneratoren beim Befüllen von Testumgebungen, beim Erstellen von API-Schlüsseln oder beim Bereitstellen erster Zugangsdaten für neue Konten. Unternehmen verlassen sich darauf bei Onboarding-Abläufen. Alltägliche Nutzer profitieren beim Einrichten neuer Konten, besonders auf Seiten, die keine strengen Passwortrichtlinien durchsetzen. Ein zufällig erzeugtes Passwort mit 16 Zeichen ist ungleich stärker als ein einprägsames, aber vorhersehbares wie "Summer2024!".

Dieses Werkzeug arbeitet vollständig clientseitig. In dem Moment, in dem du auf Generieren klickst, wird das Ergebnis in deinem Browser-Tab berechnet und niemals irgendwohin übertragen. Es gibt keinen Analyse-Hook auf dem Generierungsereignis, keine Protokollierung und keinerlei Server-Beteiligung. Du wählst den Zeichensatz, Großbuchstaben, Kleinbuchstaben, Ziffern, Symbole, und die Länge, und das Werkzeug setzt ein Passwort über eine kryptografisch sichere Zufallsauswahl aus diesem Satz zusammen.

Die NIST Special Publication 800-63B empfiehlt, die Länge des Passworts der Komplexität vorzuziehen. Eine Passphrase aus 4 bis 6 Wörtern aus einem großen Wörterbuch (der sogenannte "correct-horse-battery-staple"-Ansatz, populär gemacht durch den Comicstrip XKCD) kann 60 Bit Entropie überschreiten und dabei merkbar bleiben, oft stärker als ein kurzes, mit Symbolen vollgepacktes Passwort. Verwende Zufallspasswörter, wenn du Zugangsdaten in einem Passwort-Manager speicherst, und ziehe Passphrasen nur für Geheimnisse in Betracht, die du aus dem Gedächtnis tippen musst, etwa dein Master-Passwort oder die Entsperr-PIN deines Geräts.

Von mechanischen Zahlenschlössern zur kryptografischen Entropie: eine kurze Geschichte der Passwörter

Das Wort "Passwort" geht den Computern um Jahrtausende voraus, römische Wachen verwendeten Losungsworte, um Verbündete in der Dunkelheit zu authentifizieren. Digitale Passwörter entstanden in den 1960er-Jahren mit dem Compatible Time-Sharing System (CTSS) des MIT, wo Fernando Corbató Passwörter pro Benutzer einführte, um Forschungsdateien privat zu halten. In jenen frühen Tagen wurden Passwörter im Klartext gespeichert, und das erste bekannte Passwort-Leck trat fast sofort auf, als ein Kollege versehentlich die gesamte Passwortdatei ausdruckte.

Die Praxis, Passwörter zum Schutz bei der Speicherung zu hashen, wurde 1976 im Unix-crypt-System formalisiert, das einen abgewandelten DES-Algorithmus verwendete. Damit war der Grundstein für das moderne Prinzip gelegt, dass nicht einmal Systemadministratoren dein Passwort je sehen sollten. In den folgenden Jahrzehnten höhlte die wachsende Rechenleistung die Sicherheit kurzer Passwörter stetig aus und trieb die Empfehlungen zur Mindestlänge von 6 Zeichen in den 1980er-Jahren über 8 Zeichen in den 2000er-Jahren bis zu den heute von der NIST empfohlenen 15 bis 20 Zeichen.

Das Passphrasen-Konzept "correct-horse-battery-staple" wurde 2011 durch Randall Munroes Comicstrip XKCD 936 populär gemacht, der anschaulich zeigte, dass vier zufällig gewählte gebräuchliche Wörter mehr Entropie erzeugen als ein kürzeres, mit Symbolen überladenes Passwort, wie es Menschen typischerweise bilden. Der Comic verbreitete sich viral unter Sicherheitsfachleuten und beeinflusste die Überarbeitung der NIST SP 800-63B von 2017, die verpflichtende Komplexitätsregeln ausdrücklich zugunsten der Länge zurückstufte und von häufigen erzwungenen Passwortwechseln abriet, einer Praxis, von der die Forschung zeigte, dass sie Nutzer zu vorhersehbaren, schrittweisen Änderungen statt zu wirklich stärkeren Passwörtern verleitete.

Werbung
Werbung
Werbung