Passwort- und Passphrasen-Generator
Erzeuge lokal starke Zufallspasswörter und einprägsame Passphrasen, voll anpassbar.
Passwort- und Passphrasen-Generator wird geladen… Wenn nichts passiert, aktiviere JavaScript.
Starke, einzigartige Passwörter sind der mit Abstand wirksamste Schutz gegen Kontoübernahmen und Credential-Stuffing-Angriffe. Die Stärke eines Passworts wird in Entropie gemessen, im Grunde die Anzahl der unvorhersehbaren Bits, die ein Angreifer erraten muss. Dieses Werkzeug erzeugt kryptografisch zufällige Passwörter und gut merkbare Passphrasen vollständig in deinem Browser mithilfe von `window.crypto.getRandomValues` aus der Web Crypto API, das aus dem Entropie-Pool des Betriebssystems schöpft und für sicherheitskritische Anwendungen geeignet ist.
Häufig gestellte Fragen
Werden generierte Passwörter jemals an einen Server gesendet?
Welcher Zufallszahlengenerator kommt unter der Haube zum Einsatz?
Wie stark ist ein Zufallspasswort mit 16 Zeichen?
Wann sollte ich eine Passphrase statt eines Passworts verwenden?
Wie schneidet das im Vergleich zum eingebauten Passwortvorschlag meines Browsers ab?
Was bedeutet 'Entropie' bei einem Passwort eigentlich?
Kann ich Passwörter für Hochsicherheitskontexte wie Verschlüsselungsschlüssel erzeugen?
Was ist der häufigste Fehler bei der Passworterzeugung?
Unterstützt das Werkzeug das Ausschließen mehrdeutiger Zeichen wie O, 0, I und l?
Was passiert, wenn ich ein Passwort erzeuge und dann den Tab schließe?
Über Passwort- und Passphrasen-Generator
Entwickler nutzen starke Passwortgeneratoren beim Befüllen von Testumgebungen, beim Erstellen von API-Schlüsseln oder beim Bereitstellen erster Zugangsdaten für neue Konten. Unternehmen verlassen sich darauf bei Onboarding-Abläufen. Alltägliche Nutzer profitieren beim Einrichten neuer Konten, besonders auf Seiten, die keine strengen Passwortrichtlinien durchsetzen. Ein zufällig erzeugtes Passwort mit 16 Zeichen ist ungleich stärker als ein einprägsames, aber vorhersehbares wie "Summer2024!".
Dieses Werkzeug arbeitet vollständig clientseitig. In dem Moment, in dem du auf Generieren klickst, wird das Ergebnis in deinem Browser-Tab berechnet und niemals irgendwohin übertragen. Es gibt keinen Analyse-Hook auf dem Generierungsereignis, keine Protokollierung und keinerlei Server-Beteiligung. Du wählst den Zeichensatz, Großbuchstaben, Kleinbuchstaben, Ziffern, Symbole, und die Länge, und das Werkzeug setzt ein Passwort über eine kryptografisch sichere Zufallsauswahl aus diesem Satz zusammen.
Die NIST Special Publication 800-63B empfiehlt, die Länge des Passworts der Komplexität vorzuziehen. Eine Passphrase aus 4 bis 6 Wörtern aus einem großen Wörterbuch (der sogenannte "correct-horse-battery-staple"-Ansatz, populär gemacht durch den Comicstrip XKCD) kann 60 Bit Entropie überschreiten und dabei merkbar bleiben, oft stärker als ein kurzes, mit Symbolen vollgepacktes Passwort. Verwende Zufallspasswörter, wenn du Zugangsdaten in einem Passwort-Manager speicherst, und ziehe Passphrasen nur für Geheimnisse in Betracht, die du aus dem Gedächtnis tippen musst, etwa dein Master-Passwort oder die Entsperr-PIN deines Geräts.
Von mechanischen Zahlenschlössern zur kryptografischen Entropie: eine kurze Geschichte der Passwörter
Das Wort "Passwort" geht den Computern um Jahrtausende voraus, römische Wachen verwendeten Losungsworte, um Verbündete in der Dunkelheit zu authentifizieren. Digitale Passwörter entstanden in den 1960er-Jahren mit dem Compatible Time-Sharing System (CTSS) des MIT, wo Fernando Corbató Passwörter pro Benutzer einführte, um Forschungsdateien privat zu halten. In jenen frühen Tagen wurden Passwörter im Klartext gespeichert, und das erste bekannte Passwort-Leck trat fast sofort auf, als ein Kollege versehentlich die gesamte Passwortdatei ausdruckte.
Die Praxis, Passwörter zum Schutz bei der Speicherung zu hashen, wurde 1976 im Unix-crypt-System formalisiert, das einen abgewandelten DES-Algorithmus verwendete. Damit war der Grundstein für das moderne Prinzip gelegt, dass nicht einmal Systemadministratoren dein Passwort je sehen sollten. In den folgenden Jahrzehnten höhlte die wachsende Rechenleistung die Sicherheit kurzer Passwörter stetig aus und trieb die Empfehlungen zur Mindestlänge von 6 Zeichen in den 1980er-Jahren über 8 Zeichen in den 2000er-Jahren bis zu den heute von der NIST empfohlenen 15 bis 20 Zeichen.
Das Passphrasen-Konzept "correct-horse-battery-staple" wurde 2011 durch Randall Munroes Comicstrip XKCD 936 populär gemacht, der anschaulich zeigte, dass vier zufällig gewählte gebräuchliche Wörter mehr Entropie erzeugen als ein kürzeres, mit Symbolen überladenes Passwort, wie es Menschen typischerweise bilden. Der Comic verbreitete sich viral unter Sicherheitsfachleuten und beeinflusste die Überarbeitung der NIST SP 800-63B von 2017, die verpflichtende Komplexitätsregeln ausdrücklich zugunsten der Länge zurückstufte und von häufigen erzwungenen Passwortwechseln abriet, einer Praxis, von der die Forschung zeigte, dass sie Nutzer zu vorhersehbaren, schrittweisen Änderungen statt zu wirklich stärkeren Passwörtern verleitete.