Sicheres Passwort generieren – Entropie, Zeichenlänge und Browser-Kryptografie
Was macht ein Passwort wirklich sicher?
Die Sicherheit eines Passworts hängt von zwei Faktoren ab: der Zeichenlänge und dem Zeichenvorrat. Ein Passwort aus 20 zufälligen Kleinbuchstaben ist oft sicherer als ein kurzes Passwort mit Sonderzeichen. Maßgeblich ist die Entropie – ein Maß für die Unvorhersehbarkeit des Passworts in Bits. Unser Generator zeigt Ihnen für jedes erzeugte Passwort die Entropie in Bit und die geschätzte Knackzeit bei einem modernen Brute-Force-Angriff.
Als Faustregel gilt: Für normale Online-Konten sollten Passwörter mindestens 12 Zeichen lang sein und Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen enthalten. Für kryptografisch sensible Anwendungen oder Masterpasswörter empfehlen wir mindestens 20 Zeichen oder den Einsatz einer Passphrase.
Zeichenklassen und Sonderzeichen
Unser Passwort-Generator erlaubt die individuelle Auswahl der Zeichenklassen: Großbuchstaben (A–Z), Kleinbuchstaben (a–z), Ziffern (0–9) und Sonderzeichen (!@#$%^&*). Zusätzlich können mehrdeutige Zeichen (0, O, l, 1, I) ausgeschlossen werden, was die Lesbarkeit verbessert ohne die Sicherheit wesentlich zu beeinträchtigen.
Für Systeme mit eingeschränkten Sonderzeichensätzen – etwa manche Legacy-Anwendungen oder Terminal-Passwörter – kann der Sonderzeichensatz manuell angepasst werden. Der Rechner berechnet bei jeder Änderung sofort neu, wie groß der Zeichenraum und damit die Entropie des generierten Passworts ist.
Passphrasen als Alternative zum klassischen Passwort
Eine Passphrase besteht aus mehreren zufälligen Wörtern, die zu einem langen, aber leicht merkbaren Satz kombiniert werden – etwa „Birke-Ozean-Trommel-Nacht42“. Eine Passphrase aus vier zufälligen deutschen Wörtern (aus einem Wortschatz von 10.000) hat eine Entropie von über 50 Bit und ist damit sicherer als viele kurze Spezialzeichen-Passwörter, gleichzeitig aber wesentlich leichter zu merken.
Unser Generator unterstützt beide Modi: klassisches zufälliges Passwort und Passphrase. Für Masterpasswörter bei Passwortmanagern empfehlen wir die Passphrase-Variante mit mindestens fünf Wörtern und einem zusätzlichen Symbol oder einer Zahl. Die Entropie liegt dann bei über 65 Bit – selbst mit leistungsfähiger Hardware und Millionen von Versuchen pro Sekunde ist ein solches Passwort praktisch unknackbar.
Kryptografisch sichere Zufallszahlen im Browser
Der Sicherheit des Generators liegt die Web Crypto API des Browsers zugrunde: window.crypto.getRandomValues() liefert kryptografisch sichere Zufallszahlen, die vom Betriebssystem-Zufallsgenerator (CSPRNG) erzeugt werden. Im Gegensatz zu Math.random(), das für Sicherheitsanwendungen ungeeignet ist, sind diese Werte nicht vorhersagbar und erfüllen die Anforderungen für kryptografische Anwendungen.
Sämtliche Zufallsdaten bleiben dabei lokal – das Tool sendet keine generierten Passwörter an einen Server. Das ist entscheidend: Ein Passwortgenerator, der Passwörter serverseitig erzeugt, wäre ein erhebliches Sicherheitsrisiko. Unser Generator läuft vollständig im Browser und ist damit sowohl sicher als auch offline nutzbar.