Kostenloser Passwort-Generator Online

Was ein Passwort wirklich stark macht

Die Stärke eines Passworts ergibt sich aus der Entropie: der Anzahl an Zufalls-Bits, die ein Angreifer erraten muss. Sie wird berechnet als log₂(Zeichensatz_Größe ^ Länge): ein 12-stelliges Passwort, gleichverteilt aus den 94 druckbaren ASCII-Zeichen gezogen, besitzt rund 79 Bit Entropie; ein 16-stelliges etwa 105. Moderne Sicherheitsempfehlungen halten alles oberhalb von 80 Bit auf absehbare Zeit für resistent gegen Offline-Brute-Force-Angriffe, selbst mit spezialisierter Hardware. NIST SP 800-63B (die aktuelle US-Bundesrichtlinie zur digitalen Identität, ursprünglich 2017 veröffentlicht, mit Überarbeitungen bis 2024) empfiehlt genau dasselbe: mindestens 8 Zeichen, bis zu 64 erlaubt, sämtliches druckbare Unicode zugelassen, Leerzeichen eingeschlossen. Entscheidend: dieselbe Richtlinie kehrt jahrzehntelange schlechte Passwort-Ratschläge um, sie sagt Administratoren, sie sollen aufhören, periodische Passwort-Wechsel zu erzwingen, aufhören, Kompositionsregeln zu fordern („muss ein Symbol enthalten“), und anfangen, neue Passwörter gegen Leck-Korpora zu prüfen (die Pwned-Passwords-API von Have I Been Pwned, Troy Hunt 2018, ist die Standardimplementierung). Der praktische Rat 2026: lang, zufällig, pro Konto einzigartig, in einem Passwort-Manager gespeichert.

Passphrasen, die Diceware-Tradition

Eine Passphrase ist ein Passwort aus zufälligen Wörtern statt aus zufälligen Zeichen. Die Technik wurde 1995 von Arnold G. Reinholds Diceware formalisiert, eine Liste mit 7.776 kurzen, gebräuchlichen englischen Wörtern, jedes mit einer fünfstelligen Würfel-Adresse (5⁵ = 7.776). Würfle fünf Würfel, schlage das Wort nach, wiederhole so oft wie gewünscht. Sechs Diceware-Wörter ergeben rund 77 Bit Entropie, gleichwertig zu einem zufälligen 12-stelligen ASCII-Passwort, aber für Menschen weit leichter zu tippen und zu merken. Der XKCD-Comic #936 („correcthorsebatterystaple“, September 2011) machte das Konzept allgemein bekannt und veränderte die Sicherheitskultur; Passwort-Manager und Secure-Defaults-Projekte wie Bitwarden, 1Password, KeePassXC und die aktualisierten Wortlisten der EFF unterstützen alle die Passphrasen-Generierung. Der Vorteil ist nicht die Sicherheit (zeichen- und wortbasierte Passwörter mit gleicher Entropie widerstehen Brute-Force gleich gut) sondern die Tippbarkeit. Eine Passphrase ist das richtige Format, wenn man das Passwort tatsächlich tippen muss (Master-Passwort des Passwort-Managers, Passwort für die Festplattenverschlüsselung, alles vor dem automatischen Ausfüllen).

Warum Zufall zählt, und die CSPRNG-Frage

Passwortstärke setzt voraus, dass das Passwort gleichverteilt zufällig ist. Muster, die ein Angreifer vorhersagen kann (Tastatur-Spaziergänge (qwerty), Daten, Wörterbuchwörter, l33t-Substitutionen) zerstören Entropie weit schneller, als die bloße Zeichenanzahl vermuten lässt. Hashcat und John the Ripper, die Standardwerkzeuge fürs Passwort-Knacken, probieren Millionen gängiger Muster zuerst durch; ein 8-stelliges Passwort, das einem dieser Muster folgt, fällt in Sekunden. Dieser Generator nutzt die Web Crypto API des Browsers, konkret crypto.getRandomValues(): einen kryptographisch sicheren Zufallszahlen-Generator (CSPRNG), der aus dem Entropie-Pool des Betriebssystems schöpft. Anders als Math.random() (schnell, aber vorhersagbar, niemals für Sicherheit verwenden), ist crypto.getRandomValues() dieselbe Primitive, die der Browser zur Generierung von TLS-Sitzungsschlüsseln einsetzt. Der Zufall eignet sich für jeden kryptographischen Zweck, Passwörter inklusive.

Der unverzichtbare Begleiter: ein Passwort-Manager

Starke einzigartige Passwörter zu erzeugen, nützt nur etwas, wenn man einen Ort hat, sie zu speichern. Die Passwort-Manager-Landschaft 2026: Bitwarden (Kyle Spearrin, 2016, Open Source, kostenlose Stufe mit optionalem Bezahl-Upgrade) ist die dominierende Open-Source-Wahl. 1Password (AgileBits, gegründet 2006) ist die hochwertige kommerzielle Option. KeePassXC (Community-Fork von KeePass, vollständig offline, dateibasierter Tresor) ist die Wahl derer, die Cloud-Synchronisation nicht trauen. Apples iCloud-Schlüsselbund, Google Password Manager und der Microsoft-Edge-Manager sind die reibungsfreien Standardoptionen jeder Plattform. Proton Pass (2023) ist die neuere, datenschutzorientierte Option der Proton/ProtonMail-Macher. Die browserintegrierten Manager haben die geringste Reibung; dedizierte Manager bieten bessere plattformübergreifende Synchronisation und zusätzliche Funktionen. Die Empfehlung von 2026: ein seriöser Passwort-Manager + ein einzigartig generiertes Passwort pro Konto + ein starkes, einzigartiges Master-Passwort (das einzige, das man tatsächlich memorieren muss) + ein Hardware-Sicherheitsschlüssel (YubiKey oder Ähnliches) für Konten mit hohem Wert.

Wie stark ist Ihr Passwort?

Ein 12-stelliges Passwort, gleichverteilt aus den 94 druckbaren ASCII-Zeichen gezogen, hat 94¹² ≈ 4,75 × 10²³ mögliche Werte, etwa 79 Bit Entropie. Einen 79-Bit-Raum mit einer Billion Versuchen pro Sekunde (mit einem hochwertigen GPU-Rig erreichbar) per Brute-Force zu durchsuchen, dauert rund 19.000 Jahre. Jedes weitere Zeichen multipliziert den Suchraum mit 94, was die Knack-Zeit etwa alle 1,4 Zeichen verdoppelt. Ein 16-stelliges Passwort braucht bei demselben Tempo rund 1,5 Billionen Jahre. Die Quintessenz: 12 Zeichen reichen für die meisten Konten; 16 und mehr passen für Master-Passwörter, Verschlüsselungsschlüssel und Konten mit hohem Wert. Die Stärkeanzeige dieses Generators schätzt die Entropie aus dem aktivierten Zeichensatz und der gewählten Länge.

Häufig gestellte Fragen

Ist dieser Passwort-Generator sicher?

Ja. Wir verwenden die Web Crypto API (crypto.getRandomValues), die kryptografisch sichere Zufallszahlen liefert. Keine Passwörter werden gespeichert, übertragen oder protokolliert. Alles läuft in Ihrem Browser.

Welche Passwortlänge sollte ich verwenden?

Wir empfehlen mindestens 16 Zeichen für wichtige Konten. Für maximale Sicherheit (Master-Passwörter, Verschlüsselungsschlüssel) nutzen Sie 20-32 Zeichen. Je länger das Passwort, desto schwieriger ist es zu knacken.

Sollte ich Symbole einschließen?

Ja, wenn möglich. Symbole erhöhen die Anzahl möglicher Kombinationen drastisch. Einige Websites schränken jedoch die zulässigen Zeichen ein. Wenn eine Seite Symbole ablehnt, deaktivieren Sie diese Option und erhöhen Sie die Länge zum Ausgleich.

Warum sollte ich Passwörter niemals wiederverwenden?

Wenn eine Seite gehackt wird, probieren Angreifer dieselbe E-Mail-/Passwort-Kombination auf anderen Seiten (Credential Stuffing). Einzigartige Passwörter für jedes Konto bedeuten, dass ein einzelner Angriff nicht Ihre anderen Konten gefährden kann.

Verwandte Werkzeuge