Warum einen Passwort-Generator verwenden?
Schwache oder wiederverwendete Passwörter sind nach wie vor die häufigste Ursache für kompromittierte Online-Konten. Laut dem Verizon DBIR 2024 sind 80 % der Sicherheitsverletzungen auf gestohlene oder erratene Zugangsdaten zurückzuführen. Ein Passwort-Generator eliminiert menschliche Verzerrungen und erstellt wirklich zufällige Zugangsdaten.
Das Problem mit manuell erstellten Passwörtern:
Menschen sind schlecht darin, Zufälliges zu erzeugen. Wir verwenden immer wieder dieselben Muster: Vorname + Geburtsjahr, Name des Hundes + "123", Wörterbuchwort mit einem "!" am Ende. Solche Passwörter fallen bei einem Wörterbuchangriff in Sekunden.
Was ein Generator löst:
- Echte Zufälligkeit: keine Muster, Wörterbuchwörter oder persönlichen Informationen
- Kalibrierte Stärke: passe Länge, Zeichentypen und Entropie an deine Bedürfnisse an
- Sofortige Generierung: erstelle ein neues Passwort in Millisekunden
- Reproduzierbarkeit: gleiches Sicherheitsniveau für jedes generierte Passwort
So verwendest du den Generator in 3 Schritten
Schritt 1: Generierungsmodus wählen
Zwei Modi stehen zur Verfügung:
- Zufällig: gemischte Einzelzeichen (z.B.
k7#Qm9!xR2pL$wN4). Maximale Entropie pro Zeichen. Ideal, wenn ein Passwort-Manager das Passwort für dich speichert. - Einprägsam: Passphrasen aus zufälligen Wörtern (z.B.
Sloppily8-Rosy3-Unlocking8-Angelic4). Leichter zu merken und einzutippen, mit hoher Entropie dank der Wortanzahl.
Schritt 2: Parameter anpassen
Im Modus Zufällig:
- Länge: 4 bis 128 Zeichen (empfohlen: 16+ für sensible Konten)
- Zeichentypen: Großbuchstaben, Kleinbuchstaben, Ziffern, Symbole
- Ausschlüsse: ähnliche Zeichen (0/O, 1/l/I), benutzerdefinierte Zeichen
Im Modus Einprägsam:
- Wortanzahl: 3 bis 10 (empfohlen: 4+ Wörter)
- Trennzeichen: Bindestrich, Leerzeichen, Punkt, benutzerdefiniert
- Optionen: Großschreibung, Ziffern zwischen den Wörtern
Schritt 3: kopieren und verwenden
Klicke auf den Kopieren-Button. Das Passwort wird in deine Zwischenablage kopiert. Verwende es sofort in deinem Passwort-Manager oder im Registrierungsformular des Dienstes.
Die Stärkeanzeige zeigt dir in Echtzeit die Entropie (in Bits), den Sicherheitsscore und die geschätzte Brute-Force-Knackzeit.
Zufällig vs. einprägsam: wann welchen Modus verwenden
| Kriterium | Modus Zufällig | Modus Einprägsam |
|---|---|---|
| Entropie pro Zeichen | ~6,5 Bits (95 ASCII-Zeichen) | ~12,9 Bits pro Wort (7776 Diceware-Wörter) |
| Beispiel | k7#Qm9!xR2pL$wN4 | Sloppily8-Rosy3-Unlocking8 |
| Merkbarkeit | Ohne Manager unmöglich | Mit etwas Aufwand möglich |
| Eingabefreundlichkeit | Schwierig (Symbole, Groß-/Kleinschreibung) | Einfach (gängige Wörter) |
| Idealer Anwendungsfall | In einem Manager gespeicherte Konten | Master-Passwort, PIN, geteilter Zugang |
Wann Zufällig wählen:
- Webkonten, die in 1Password, Bitwarden oder KeePass gespeichert sind
- API-Schlüssel und Service-Zugangsdaten
- Jedes Passwort, das du nie manuell eintippen musst
Wann Einprägsam wählen:
- Das Master-Passwort deines Managers (das einzige, das du dir merkst)
- Entsperrcodes, die du häufig eintippst (Sperrbildschirm)
- Geteilte Passwörter, die du mündlich weitergeben musst
Passwort-Entropie verstehen
Entropie misst die Unvorhersagbarkeit in Bits. Jedes Bit verdoppelt die Zahl möglicher Kombinationen. Die Formel lautet: Entropie = log2(Anzahl_der_Kombinationen).
Konkretes Beispiel:
- Ein 8-Zeichen-Passwort aus 26 Kleinbuchstaben:
log2(26^8)= 37,6 Bits - Dasselbe mit Groß- + Kleinbuchstaben + Ziffern (62 Zeichen):
log2(62^8)= 47,6 Bits - Mit zusätzlichen Symbolen (95 Zeichen):
log2(95^8)= 52,6 Bits - 16 Zeichen aus 95 Zeichen:
log2(95^16)= 105,2 Bits
| Entropie | Stärke | Knackzeit (10¹² Versuche/Sek.) |
|---|---|---|
| <28 Bits | Sehr schwach | Sekunden |
| 28-35 Bits | Schwach | Minuten bis Stunden |
| 36-59 Bits | Mittel | Tage bis Jahre |
| 60-127 Bits | Stark | Tausende bis Milliarden Jahre |
| ≥ 128 Bits | Sehr stark | Jenseits aller absehbaren Technologie |
Der Schwellenwert von 10¹² Versuchen/Sekunde entspricht einem Brute-Force-Angriff mit moderner GPU-Hardware (z.B. Grafikkarten-Cluster). Bei einem Online-Dienst mit Rate-Limiting wäre die tatsächliche Zeit erheblich länger.
Best Practices für Passwortsicherheit
NIST-SP-800-63B-Empfehlungen (2024)
Das National Institute of Standards and Technology (NIST) hat seine Passwort-Empfehlungen aktualisiert. Die wichtigsten Änderungen gegenüber früheren Praktiken:
| Alte Praxis | Aktuelle NIST-Empfehlung |
|---|---|
| Passwörter alle 90 Tage ändern | Nur bei Kompromittierung ändern |
| Sonderzeichen verlangen | Länge vor Komplexität bevorzugen |
| Mindestens 8 Zeichen | Mindestens 8, empfohlen 15+ |
| Sicherheitsfragen | Verboten (zu vorhersagbar) |
| Passworthinweise | Verboten |
Die 5 wichtigsten Regeln
- Ein einzigartiges Passwort pro Dienst: wenn ein Dienst kompromittiert wird, bleiben die anderen geschützt
- Länge > Komplexität:
correcthorsebatterystaple(25 Zeichen, ~58 Bits) ist sicherer und einprägsamer alsP@$$w0rd(8 Zeichen, ~30 Bits) - Verwende einen Passwort-Manager: 1Password, Bitwarden oder KeePass, um Hunderte einzigartiger Passwörter zu speichern
- Aktiviere überall 2FA: TOTP (Google Authenticator, Authy) oder FIDO2-Sicherheitsschlüssel für alle kritischen Konten
- Prüfe auf Datenlecks: besuche Have I Been Pwned, um zu erfahren, ob deine Zugangsdaten in einem Datenleck aufgetaucht sind
Passwortbeispiele und ihre Stärke
| Typ | Beispiel | Entropie | Knackzeit | Bewertung |
|---|---|---|---|---|
| Gängiges Wort | password | ~0 Bits | Sofort (Wörterbuch) | Katastrophal |
| Vorname + Jahr | Marie1990 | ~20 Bits | Sekunden | Sehr schwach |
| Zufällig 8 Zeichen | k7#Qm9!x | ~52 Bits | Tage | Mittel |
| Zufällig 12 Zeichen | k7#Qm9!xR2pL | ~79 Bits | Tausende Jahre | Stark |
| Zufällig 16 Zeichen | k7#Qm9!xR2pL$wN4 | ~105 Bits | Milliarden Jahre | Sehr stark |
| Passphrase 4 Wörter | Correct-Horse-Battery-Staple | ~52 Bits | Tage bis Monate | Mittel |
| Passphrase 5 Wörter + Ziffern | Sloppily8-Rosy3-Unlocking8-Angelic4-Brisk7 | ~85 Bits | Millionen Jahre | Stark |
Der ideale Kompromiss für die meisten Nutzer: ein Zufallspasswort mit 16+ Zeichen im Manager gespeichert, plus eine Passphrase mit 5+ Wörtern als Master-Passwort.
Wie funktioniert die Generierung?
Kryptographische Generierung (CSPRNG)
Unser Generator verwendet crypto/rand von Go, einen CSPRNG (Cryptographically Secure Pseudo-Random Number Generator), der auf die Entropiequellen des Betriebssystems zurückgreift:
/dev/urandomunter LinuxCryptGenRandomunter WindowsSecRandomCopyBytesunter macOS
Im Gegensatz zu klassischen Pseudozufallsgeneratoren (Math.random() in JavaScript, random in Python) erzeugt ein CSPRNG eine Ausgabe, die selbst für einen Angreifer unvorhersagbar ist, der die vorherigen Werte kennt.
Generierungsprozess
- Berechnung des Zeichenpools: je nach aktivierten Optionen (Großbuchstaben, Kleinbuchstaben, Ziffern, Symbole) enthält der Pool zwischen 10 und 95 Zeichen
- Zufallsziehung: für jede Position des Passworts wird ein zufälliges Byte über den CSPRNG gezogen und in einen Index im Pool umgewandelt
- Entropieberechnung:
log2(Pool-Größe^Länge)ergibt die Entropie in Bits - Knackzeit-Schätzung: basierend auf 10¹² Versuchen/Sekunde (Offline-GPU-Angriff)
- Sichere Übertragung: das Passwort wird über HTTPS zurückgegeben und weder gespeichert, noch geloggt, noch gecacht
Ergänzende Tools
| Tool | Nutzen |
|---|---|
| Groß-/Kleinschreibung umwandeln | Textumwandlung (UPPER, lower, Title, camelCase) |
| Base64-Encoder/Decoder | Sensible Daten für den Transport kodieren |
| Textstatistiken | Länge und Zusammensetzung eines Textes analysieren |
| Slug-Generator | Text in eine URL-sichere Kennung umwandeln |
Nützliche Ressourcen
- NIST SP 800-63B: Digital Identity Guidelines: offizielle Passwort-Empfehlungen
- OWASP Password Storage Cheat Sheet: Best Practices für serverseitige Speicherung
- Have I Been Pwned: prüfe, ob deine Zugangsdaten in einem Datenleck enthalten sind
- Diceware Passphrase: ursprüngliche Methode zur Passphrasen-Generierung
- Passkeys vs. Passwörter: Vergleich Passkeys vs. traditionelle Passwörter