Passwort-Generator
Kostenloser Online-Passwort-Generator mit CSPRNG von Web Crypto für starke Zufallspasswörter, Passphrasen und PINs. Stärkeerkennung, mehrdeutige Zeichen ausschließen, Stapel-Export. Browser-lokal generiert.
Kostenloser Online-Passwort-Generator mit CSPRNG von Web Crypto für starke Zufallspasswörter, Passphrasen und PINs. Stärkeerkennung, mehrdeutige Zeichen ausschließen, Stapel-Export. Browser-lokal generiert.
Math.random() ist ein allgemeiner PRNG, der nicht für Sicherheitsszenarien konzipiert ist — sein interner Zustand kann potenziell rückwärtsentwickelt werden. crypto.getRandomValues() verwendet das CSPRNG auf Betriebssystemebene und erzeugt unvorhersehbare Zufälligkeit, die für Passwörter und Schlüssel geeignet ist.
Nein. Alle Passwörter werden lokal in Ihrem Browser generiert. Die Stärkeanalyse, Entropieberechnung und Crack-Zeit-Schätzung laufen clientseitig. Die Netzwerk-Registerkarte der DevTools bestätigt null externe Anfragen.
Mindestens 12 Zeichen mit Groß-/Kleinschreibung, Ziffern und Symbolen. Ein 16-stelliges Zufallspasswort würde bei moderner Geschwindigkeit Milliarden von Jahren brauchen, um per Brute-Force geknackt zu werden. Siehe die Crack-Zeit-Tabelle oben.
Pro Zeichen haben Zufallspasswörter höhere Entropie. Aber Passphrasen (4-6 wirklich zufällige Wörter) erreichen über 60 Bit Entropie und sind viel einfacher zu merken. Der Schlüssel ist eine wirklich zufällige Wortauswahl, keine selbst erfundenen Phrasen.
Diese sehen sich in vielen Schriftarten ähnlich und verursachen Eingabefehler. Wenn Passwörter manuell eingegeben, telefonisch diktiert oder gedruckt werden, schließen Sie sie aus. Bei ausschließlicher Verwendung über einen Passwort-Manager behalten Sie alle Zeichen für höhere Entropie.
Gemäß NIST SP 800-63B wird regelmäßiger Passwortwechsel NICHT mehr empfohlen, es sei denn, eine Kompromittierung ist bestätigt. Erzwungener Wechsel führt dazu, dass Benutzer schwache Passwörter wählen oder diese notieren. Besser: Lange Zufallspasswörter + Passwort-Manager + 2FA.
Entropie misst die Unvorhersehbarkeit in Bit. Entropie = log₂(Zeichengummegröße ^ Länge). Ein 16-stelliges Passwort aus 94 druckbaren ASCII-Zeichen hat ~104 Bit, was bedeutet, dass ein Angreifer durchschnittlich 2¹⁰³ Versuche braucht — etwa 200 Milliarden Jahre bei 1 Billion Versuchen/Sek.
Ein Passwort-Generator erstellt zufällige, unvorhersehbare Passwörter. Im Gegensatz zu von Menschen gewählten Passwörtern verwendet ein echter Generator einen Kryptografisch Sicheren Pseudo-Zufallszahlengenerator (CSPRNG), um Zeichen zufällig aus einem bestimmten Pool auszuwählen, wobei vorhersehbare menschliche Muster vermieden werden (Name+Geburtstag, Tastatursequenzen wie qwerty, Firma+Jahr), was das Risiko von Wörterbuchangriffen und Credential Stuffing drastisch reduziert.
**Warum nicht Math.random()?** Allgemeine PRNGs haben einen internen Zustand, der aus kleinen Ausgaben rückwärtsentwickelt werden kann, sodass Angreifer zukünftige «zufällige» Zahlen vorhersagen können. Dieses Tool verwendet die Web Crypto API des Browsers — gestützt durch betriebssystemeigene CSPRNGs (Linux getrandom, macOS SecRandomCopyBytes, Windows BCryptGenRandom), die kryptografische Zufälligkeitstests bestehen.
**Entropie ist der Kern der Passwortstärke**: Entropie = log₂(N^L) Bit, wobei N = Zeichengummegröße und L = Länge ist. Ein 16-stelliges Passwort aus 94 druckbaren ASCII-Zeichen hat ~104 Bit — durchschnittlich 2¹⁰³ Versuche zum Knacken, oder etwa 200 Milliarden Jahre bei 1 Billion Versuchen/Sek.
**Passphrasen** aus mehreren zufällig gewählten Wörtern (wie Brave-Cloud-Star42) sehen «einfacher» aus, erreichen aber über 60 Bit, wenn die Wörter wirklich zufällig sind — genug für die meisten Szenarien und viel einfacher zu merken als Zufallszeichen-Passwörter. Das ist der Diceware / XKCD #936 Ansatz.
Alle Passwörter werden lokal in Ihrem Browser generiert, null Upload. Das Tool bietet außerdem Stärkeerkennung: Entropieberechnung, Brute-Force-Zeitschätzung und Erkennung schwacher Muster (wiederholte Zeichen, sequentielle Ziffern/Buchstaben, Abgleich mit gängigen Passwörtern).
| Länge | Entropie(bit) | Kombinationen | Crack-Zeit (1 Bio./Sek) | Bewertung |
|---|---|---|---|---|
6 Zeichen | ~37 | ~139 Milliarden | < 1 Sekunde | ❌ Sehr schwach |
8 Zeichen | ~52 | ~2.2×10¹⁴ | ~2.5 Tage | ❌ Schwach |
10 Zeichen | ~65 | ~3.7×10¹⁸ | ~116 Jahre | ⚠️ Mittelmäßig |
12 Zeichen | ~78 | ~6.1×10²² | ~1.9 Millionen Jahre | ✅ Stark |
16 Zeichen | ~104 | ~6.3×10³⁰ | ~200 Milliarden Jahre | ✅✅ Sehr stark |
20 Zeichen | ~131 | ~6.7×10³⁸ | Billionenfache des Universumsalters | ✅✅✅ Unknackbar |
| Modus | Beispiel | Typische Entropie | Merkbarkeit | Am besten für |
|---|---|---|---|---|
| Zufälliges Passwort | xK9#mP2$vL8@nQ4! | ~6.5bit/Zeichen | Schlecht | Master-Passwörter für Manager, DB-Passwörter, API-Schlüssel |
| Einprägsame Passphrase | Brave-Cloud-Star42 | ~10bit/Wort | Gut | Wi-Fi-Passwörter, Anmelde-Passwörter mit manueller Eingabe |
| Numerische PIN | 482917 | 3.3bit/Ziffer | Gut | Geräte-Sperrbildschirm, Bankkarten-PIN, Einmal-Codes |