Skip to main content

Password Generator

Generate cryptographically secure random passwords with configurable length, character types and entropy display.

Geprüft von · Zuletzt geprüft

8128

Ein Passwort in fünf Klicks generieren

  1. Ziehe den Längen-Slider auf deine Zielgröße. Die Skala reicht von 8 bis 128 Zeichen; die Entropie-Anzeige aktualisiert sich während des Ziehens, damit du den Effekt sofort siehst.
  2. Schalte die vier Zeichensatz-Checkboxen um für Kleinbuchstaben (a-z), Großbuchstaben (A-Z), Ziffern (0-9) und Symbole (!@#$%^&*()_+-=[]{}|;:,.<>?). Mindestens eine muss aktiviert bleiben, sonst ist die Ausgabe leer.
  3. Klicke auf "Passwort generieren". Ein neues Passwort wird aus dem aktuellen Zeichenpool mit crypto.getRandomValues() gezogen, das ein Uint32Array der angeforderten Länge füllt.
  4. Klicke auf das Kopier-Symbol, um das Ergebnis in deine Zwischenablage zu legen. Die Seite zeigt keine Historie früherer Passwörter an, der Wert ist also weg, sobald du neu generierst.
  5. Füge das Passwort zuerst in deinen Passwortmanager ein, dann auf der Website, die es verlangt. Gib es nie von Hand ein; du wirst ein Zeichen verlieren und dich aussperren.

Was passiert, wenn du auf Generieren klickst

Der Generator alloziert ein Uint32Array und übergibt es an crypto.getRandomValues(), die Browser-Schnittstelle zum CSPRNG des Betriebssystems (getrandom(2) auf Linux, BCryptGenRandom auf Windows, SecRandomCopyBytes auf macOS). Jeder 32-Bit-Wert wird modulo der Pool-Größe reduziert, um ein Zeichen auszuwählen. Die resultierende Modulo-Verzerrung ist bei einem 94-Zeichen-Pool vernachlässigbar. Das Entropie-Messgerät zeigt length * log2(poolSize), sodass ein 16-Zeichen-Alle-Sets-Passwort etwa 105 Bits ergibt. NIST SP 800-63B Abschnitt 5.1.1 erlaubt jede Länge über 8 Zeichen und entfernt alte Kompositionsregeln, weil sie vorhersehbare Muster wie "Password1!" erzeugen. Länge ist der echte Hebel; dieses Werkzeug exponiert ihn bis zu 128 Zeichen für strenge Compliance-Regimes.

Echte Szenarien, in denen du das tatsächlich brauchst

  • Bereitstellung eines neuen SaaS-Kontos, bei dem der integrierte Vorschlag des Browsers von einer falsch konfigurierten Passwortrichtlinie abgelehnt wird und du manuell eine Länge auswählen musst, die besteht.
  • Rotation von API-Tokens oder Datenbank-Service-Konto-Passwörtern nach dem Offboarding eines Mitarbeiters, bei denen Länge Merkbarkeit schlägt und der Wert nur in einem Secret-Manager leben wird.
  • Generierung von Wiederherstellungsphrasen oder Master-Passwörtern, die du auf einer mobilen Tastatur eingeben wirst, wobei du Symbole deaktivieren kannst, um den Umschalt-Tasten-Tanz zu vermeiden.
  • Viele eindeutige WLAN-Gast-Passwörter vor einer Konferenz erstellen, Länge 12 kombinieren und mehrere Läufe generieren.
  • Test-Fixtures mit realistisch aussehenden Anmeldedaten befüllen, die noch entropiebasierte Validierung in deiner Staging-Umgebung bestehen.
  • Ein Standard-Admin-Passwort auf einem frisch geflashten Heimrouter oder Smart-Home-Hub ersetzen, dessen Anbieter-Passwort von Shodan indiziert ist.

Arten, wie dies noch ein schwaches Ergebnis erzeugen kann

Ein generiertes Passwort ist nur so stark wie die gewählten Optionen. Wenn du jedes Kästchen außer Kleinbuchstaben deaktivierst, fällt ein 12-Zeichen-Passwort von 78 auf 56 Bits Entropie, in Reichweite von Cloud-GPU-Clustern. Der LinkedIn-2012-Verstoß von 6,5 Millionen ungesalzenen SHA-1-Hashes wurde in Tagen auf Consumer-Hardware erheblich geknackt, und die RockYou-Wortliste (32 Millionen echte Passwörter) bedeutet, dass alles kürzer als 10 zufällige Zeichen effektiv offline brutal erzwingbar ist. Wenn du in ein Feld einfügst, das still kürzt (häufig bei Legacy-Apps, die bei 20 Zeichen begrenzt sind), ist das gespeicherte Passwort kürzer als das, was du in deinem Manager gespeichert hast, und du wirst für immer ausgesperrt.

Die Mathematik hinter Entropie und warum Länge gewinnt

Passwort-Entropie wird in Bits gemessen und als length * log2(poolSize) berechnet. Ein Zeichen zu einem 94-Zeichen-Pool hinzuzufügen fügt etwa 6,55 Bits hinzu. Von Nur-Kleinbuchstaben auf Alle-Sets zu wechseln fügt log2(94/26) = 1,85 Bits pro Zeichen hinzu. Ein Passwort um 4 Zeichen zu verlängern fügt daher mehr Entropie hinzu als jede Symbol-Klasse zu einem kurzen hinzuzufügen. NIST SP 800-63B empfiehlt lange benutzerseitig gewählte Passphrasen über kurze komplexe Zeichenketten. EFF-Langwort-Diceware-Listen setzen sich aus etwa 12 Bits pro gewürfeltem Wort zusammen, sodass eine Fünf-Wort-Passphrase (~60 Bits) einem 10-Zeichen-Zufallspasswort (~66 Bits) nahekommt. Entropie ist eine Obergrenze: Sie setzt voraus, dass der Gegner keine Vorinformationen über deine Passwortstruktur hat.

Warum nicht einfach den Generator von 1Password oder Bitwarden verwenden

Dedizierte Passwortmanager (1Password, Bitwarden, KeePassXC, Apple Passwords) haben den Vorteil für den täglichen Einsatz, weil sie den generierten Wert automatisch neben der Website-URL speichern, was die Copy-Paste-Lücke eliminiert, in der ein Passwort im Clipboard-Verlauf oder einem Slack-Entwurf landen kann. Dieses Werkzeug gewinnt, wenn du ein Passwort außerhalb der Vault-Benutzeroberfläche benötigst - eine Terraform-Datei schreiben, ein Formular in einer Sitzung ausfüllen, bei der dein Vault nicht entsperrt ist, oder einen Batch für ein einmaliges Skript generieren. CLI-Alternativen wie openssl rand -base64 24 oder pwgen -s 20 10 decken denselben Bereich auf einem Server ab, zeigen aber keine Entropie in Echtzeit an. Wenn dein Bedrohungsmodell eine bösartige Browser-Erweiterung beinhaltet, die DOM-Inhalte liest, verwende ein Offline-Werkzeug; wenn es ein kompromittiertes Betriebssystem beinhaltet, kann kein In-Browser-Generator dich retten.

Häufig gestellte Fragen

Welche Zufallsquelle verwendet der Generator tatsächlich?

Der Code alloziert ein Uint32Array der angeforderten Länge und füllt es mit crypto.getRandomValues(), das der Browser an den CSPRNG des Betriebssystems ankoppelt. Auf modernem Linux ist das getrandom(2) aus dem Kernel ChaCha20 DRBG, auf Windows BCryptGenRandom, und auf macOS/iOS SecRandomCopyBytes. Math.random() wird in diesem Werkzeug nirgendwo verwendet. Diese Quellen werden durch Hardware-Entropie (RDRAND/RDSEED auf x86, Interrupt-Timing auf anderen Plattformen) gespeist und sind dieselben RNGs, die für TLS-Sitzungsschlüssel verwendet werden, daher ist die Ausgabe für den kryptografischen Einsatz geeignet.

Reichen 12 Zeichen oder sollte ich 16 oder 20 verwenden?

NIST SP 800-63B hat keine harte Obergrenze über 8 Zeichen für gespeicherte Geheimnisse, aber der moderne Konsens ist 14+ für menschlich getippte Passwörter und 20+ für alles, was maschinen- gespeichert wird. Ein 12-Zeichen-Alle-Sets-Passwort hat etwa 78 Bits Entropie, was Offline-Cracking von einem Nationalstaat-Gegner bis mindestens 2035 widersteht. Wenn die Website dein Passwort mit bcrypt oder Argon2 speichert, reichen 12 aus; wenn es ungesalzenes SHA-1 wie LinkedIn 2012 speichert, kann sogar 16 einem entschlossenen Angreifer fallen. Standardmäßig 16 verwenden.

Kann ich ein von diesem Werkzeug generiertes Passwort in ein Feld einfügen, das Sonderzeichen einschränkt?

Deaktiviere das Symbol-Kästchen vor dem Generieren. Der Pool fällt auf Buchstaben und Zahlen zurück (62 Zeichen), was die Entropie pro Zeichen von etwa 6,55 Bits auf 5,95 Bits senkt, also erhöhe die Länge um ein oder zwei zur Kompensation. Lösche keine Symbole manuell aus einem generierten Passwort - das lässt die verbleibenden Zeichen voreingenommen zu dem, was der Pool ohne sie erzeugt hätte.

Merkt sich die Seite generierte Passwörter?

Nein. Das Passwort wird in einem einzelnen Preact-useState-Hook gehalten. Es gibt keinen localStorage-Schreibvorgang, kein IndexedDB, keinen Fetch-Aufruf und keinen Service-Worker-Cache. Das Schließen des Tabs löscht den Status. Der Formular-Autofill deines Browsers kann den Wert erfassen, wenn du ihn in ein Passwortfeld einfügst, aber das geschieht unterhalb dieser Seite.

Wie vergleicht sich das mit dem integrierten Passwort-Vorschlag des Browsers?

Chrome, Safari und Firefox schlagen alle Passwörter vor, wenn du dich auf ein Feld vom Typ type="password" fokussierst, mit demselben CSPRNG, aber mit fester Länge und Muster (normalerweise 15-20 Zeichen, gemischte Groß-/Kleinschreibung). Dieses Werkzeug ist nützlich, wenn der Vorschlag nicht erscheint, wenn du eine Länge außerhalb des Standards benötigst, oder wenn du die Entropie vor der Akzeptanz sehen möchtest.

Was tun, wenn mein Passwortmanager-Generator das bereits tut?

Er tut es fast sicher, und du solltest ihn zuerst verwenden, weil er das Ergebnis automatisch gegen den Website-Eintrag speichert. Dieses Werkzeug ist ein Fallback für Sitzungen, bei denen dein Vault gesperrt ist, einem gemeinsamen Kiosk oder Wegwerf-Werten zum Testen. Der Algorithmus und die Entropie-Garantien sind äquivalent; der Workflow- Vorteil liegt beim Vault.

Muss ich alle vier Zeichensätze aktivieren, damit das Passwort stark ist?

Nein. Länge dominiert Entropie, daher schlägt ein 20-Zeichen-Nur- Kleinbuchstaben-Passwort (etwa 94 Bits) ein 10-Zeichen-Alle-Sets- Passwort (etwa 65 Bits). Die alte Regel "ein Großbuchstabe, ein Kleinbuchstabe, eine Ziffer, ein Symbol" wurde aus NIST SP 800-63B gestrichen, weil sie vorhersehbare Transformationen wie "Password1!" erzeugt, die Wörterbücher vorantizipieren. Wähle die auf der Zielseite zulässigen Zeichensätze und erhöhe die Länge so weit wie möglich.

Warum können zwei von mir generierte Passwörter ähnlich aussehen?

Bei kurzen Längen ist der Zeichenpool klein genug, dass visuelle Muster (drei Vokale in Folge, zwei Ziffern nebeneinander) zufällig auftreten. Echte Zufälligkeit ist klumpig; eine Sequenz, die "zu zufällig" aussieht, ist oft weniger zufällig als eine mit dem gelegentlichen wiederholten Buchstaben. Regenerieren, weil ein Passwort "nicht zufällig genug aussieht", führt menschliche Verzerrung ein und verkleinert den echten Schlüsselraum.

Mehr Security & Privacy

AES-256 Encrypt / Decrypt Online - Free, In-Browser

Encrypt and decrypt text with AES-128, AES-192, or AES-256 in GCM, CBC, or CTR mode. PBKDF2 key derivation, entirely in your browser.

Open tool

Basic Auth Header Generator

Create HTTP Basic Authentication headers from a username and password or API token.

Open tool

CSP Header Generator

Build Content-Security-Policy headers with a visual form, presets and per-directive configuration.

Open tool

Password Entropy Calculator

Estimate password entropy, character pool size and crack-time ranges for online and offline attacks.

Open tool

Password Strength Checker

Check password strength with entropy calculation, pattern detection and common password matching.

Open tool

PBKDF2 Hash Generator

Derive cryptographic keys from passwords using PBKDF2 with configurable iterations, salt and hash function.

Open tool