Was der Passwort-Generator produziert
Der Passwort-Generator erstellt starke, zufällige Passwörter, die du sofort in jedes Konto oder jeden Passwort-Manager kopieren kannst. Klick auf Erzeugen und du bekommst etwas wie:
kT9$mB&pQ2zX5*nF · Wx7!hY#rL3eA8@cV · pN4?jM%bU6kQ$gZ
Jedes Passwort ist standardmäßig 16 Zeichen lang — lang genug, um Brute-Force-Attacken zu widerstehen, kurz genug, um es zu tippen, wenn du musst. Länge, Zeichenklassen (Groß-, Kleinbuchstaben, Ziffern, Sonderzeichen) und Menge sind alle anpassbar. Der Generator läuft vollständig in deinem Browser; nichts geht durchs Netzwerk und kein Passwort wird je gespeichert.
Warum einen Passwort-Generator statt sich selbst eins ausdenken
Menschen sind vorhersehbar schlecht im Zufall. Studien geleakter Passwort-Datenbanken finden immer dieselben Muster: Geburtsjahre, Namen, Tastatur-Sequenzen (qwerty, 12345), einzelne Wörterbuch-Wörter mit angehängter Ziffer und Ausrufezeichen. Wähl irgendeinen "zufälligen" String selbst, und es ist hoch wahrscheinlich, dass ein Angreifer das Muster schon gesehen hat.
Ein Passwort-Generator löst drei Probleme auf einmal:
- Echter Zufall — die Ausgabe wird aus kryptografischem Zufall erzeugt, nicht aus etwas, das du über die Quelle erraten könntest
- Zeichenklassen-Compliance — die meisten Konten verlangen mindestens einen Großbuchstaben, eine Ziffer und ein Sonderzeichen; der Generator erfüllt das automatisch
- Tempo — du kannst in unter einer Sekunde ein frisches Passwort produzieren und direkt in einen Passwort-Manager einfügen, ohne in Versuchung zu kommen, wiederzuverwenden
Das Problem der "Wiederverwendung" zählt mehr, als die meisten denken. Rund 65% der Internet-Nutzer geben zu, dasselbe Passwort über mehrere Seiten zu nutzen. Sobald eine Seite gehackt wird, fahren Angreifer diese geleakten Zugangsdaten gegen jeden anderen großen Dienst — Credential Stuffing ist für die Mehrheit automatisierter Account-Übernahme-Angriffe verantwortlich. Ein Generator entfernt die Reibung, die Wiederverwendung überhaupt verlockend macht.
So funktioniert der Generator
Unter der Haube nutzt der Passwort-Generator crypto.getRandomValues() — den kryptografisch sicheren Zufallszahlengenerator deines Browsers. Das ist bedeutsam anders als Math.random(), was deterministisch und für Sicherheit ungeeignet ist.
Die Ausgabe von crypto.getRandomValues() ist für echte Konto-Passwörter geeignet. Dieselbe API wird zur Erzeugung von Session-Tokens, Verschlüsselungs-Keys und anderen sicherheitskritischen Werten in produktiven Webanwendungen genutzt.
Die Erzeugung läuft Zeichen für Zeichen: Der Generator zieht aus dem gewählten Alphabet gleichverteilt zufällig, wendet die von dir gesetzten Beschränkungen an (muss ein Sonderzeichen enthalten, muss eine Ziffer enthalten) und fügt das Ergebnis zusammen. Wenn du ein frisches Passwort anforderst, zieht er nochmal von Grund auf — es gibt keine Beziehung zwischen aufeinanderfolgenden Ausgaben.
Ein wichtiges Detail: Der Generator stellt standardmäßig sicher, dass dein Passwort mindestens ein Zeichen aus jeder aktivierten Klasse enthält. Ohne diese Garantie könnte ein 16-Zeichen-Passwort aus dem vollen 94-Zeichen-ASCII-Alphabet gelegentlich kein Sonderzeichen haben, was dann an Seitenkomplexitäts-Anforderungen scheitert.
Die Ausgabe anpassen
Die Voreinstellungen funktionieren für die meisten Fälle, aber jede Option zählt in bestimmten Szenarien:
| Option | Voreinstellung | Bereich | Wann ändern |
|---|---|---|---|
| Länge | 16 | 4-64 | Auf 20+ erhöhen für Krypto-Wallets, Master-Passwörter, Root-Konten |
| Großbuchstaben A-Z | An | An / Aus | Aus nur, wenn eine Seite Großbuchstaben ablehnt (selten) |
| Kleinbuchstaben a-z | An | An / Aus | Immer anlassen |
| Ziffern 0-9 | An | An / Aus | Immer anlassen |
| Sonderzeichen !@#$… | An | An / Aus | Aus, wenn eine Seite sie ablehnt; Länge auf 20 erhöhen zum Ausgleich |
| Mehrdeutige vermeiden | Aus | An / Aus | An, wenn du das Passwort manuell tippen musst (schließt O, 0, I, l, 1 aus) |
Für die meisten Websites sind 16 Zeichen über alle vier Zeichenklassen reichlich. Die Mathematik: 16 Zeichen × ~94 mögliche Symbole pro Position ≈ 1031 mögliche Kombinationen. Eine moderne GPU-Farm, die ~100 Milliarden Versuche pro Sekunde macht, bräuchte immer noch Trillionen Jahre, um den Raum zu erschöpfen.
Für Master-Passwörter von Passwort-Managern, Krypto-Wallet-Seed-Phrasen und ähnlich hochwertige Zugangsdaten ist es sinnvoll, die Länge auf 20-24 zu erhöhen. Die Kosten, ein extra-langes Passwort zu merken (du hast nur eins), sind viel niedriger als die Kosten, wenn jemand es knackt.
Best Practices und Überlegungen
Ein starkes Passwort ist notwendig, aber nicht ausreichend. Der Passwort-Generator handhabt den "mach es zufällig und stark"-Teil; das volle Bild hat ein paar Stücke mehr:
- Ein einzigartiges Passwort pro Seite. Wiederverwendung ist die häufigste Ursache kompromittierter Konten, selbst wenn einzelne Passwörter stark sind.
- Nutze einen Passwort-Manager. 1Password, Bitwarden, KeePass — egal welcher. Der ganze Sinn eines Generators ist, dass du dir die Ausgabe nicht merken musst; der Manager tut das.
- Aktiviere Zwei-Faktor-Authentifizierung. Selbst ein geleaktes Passwort gewährt keinen Zugang, wenn 2FA an ist. Authenticator-Apps schlagen SMS, wo sie unterstützt werden.
- Überspringe "Passwort-Komplexitäts-Fragen". Merkbare aber schwer zu erratende Passphrasen (vier zufällige Wörter aus einem Wörterbuch, ~25 Zeichen) sind okay für die wenigen Konten, die du wirklich tippen musst — Laptop-Login, Handy-PIN. Erzeugte Zufalls-Strings sind für alles andere.
- Schreib Passwörter nicht in Klartext-Dateien, Klebezettel oder unverschlüsselte Notiz-Apps. Der Passwort-Manager existiert genau deswegen.
Über Länge vs. Komplexität: Ein 20-Zeichen-Passwort nur aus Kleinbuchstaben ist schwerer zu knacken als ein 12-Zeichen-Passwort mit allen Sonderzeichen. Länge gewinnt. Wenn eine Seite beides begrenzt, priorisiere 16+ Zeichen zu erreichen, bevor du dir um Zeichenvariation Sorgen machst.
Noch eins: Vertrau keinen Passwort-Stärke-Anzeigen auf Anmeldeseiten. Die meisten sind grob — sie belohnen "P@ssw0rd!", weil es die geforderten Zeichenklassen hat, aber es ist eines der meistgeknackten Passwörter überhaupt. Ein wirklich starkes Passwort ist sowohl lang als auch unvorhersehbar, und eine Stärke-Anzeige kann nur die erste Hälfte prüfen. Die Ausgabe des Passwort-Generators ist konstruktionsbedingt unvorhersehbar, also wird jedes Passwort, das er produziert, jede Stärke-Anzeige locker überstehen.
Wissenswert über Passphrasen: Eine Kette aus vier oder fünf zufälligen deutschen Wörtern ("PferdBatterieKlammerHeftung" als bekanntes Beispiel) kann sowohl merkbar als auch sicher sein, mit rund 50-70 Bit Entropie. Sie sind nützlich für die kleine Menge Passwörter, die du wirklich aus dem Gedächtnis tippen musst — das Master-Passwort deines Passwort-Managers, dein Laptop-Login, deine Handy-PIN. Für alles andere sind zufällig erzeugte Zeichenstrings aus dem Passwort-Generator kürzer, kompatibler mit Seitenanforderungen und gleich stark. Nutze beides: Passphrasen für die wenigen, die du dir merkst, erzeugte Strings für die Hunderten, die du nicht merkst.
Verwandte Generatoren
Baust du ein Sicherheits-Toolkit oder Test-Fixtures? Ein paar verwandte Microapp-Generatoren runden das ab:
- UUID-Generator — für eindeutige Identifier in Datenbanken, API-Anfragen und Session-Tracking. Random v4 als Standard; kryptografisch geeignet.
- Zufallszahlen-Generator — wenn du begrenzte Zufallszahlen brauchst (Würfelwürfe, Lotterieziehungen, Stichprobengrößen) statt Zeichenstrings.
- MD5-Hash-Generator und SHA-256-Generator — zum Hashen von Passwörtern, Dateien oder Strings (Hinweis: Speicher User-Passwörter nicht als rohes MD5/SHA-256; nutze bcrypt oder argon2 serverseitig).
- E-Mail-Generator — Platzhalter-Adressen für Tests. Nutze die erzeugten Adressen mit der Passwort-Generator-Ausgabe für volle Test-Fixtures.
Häufig gestellte Fragen
Sind diese Passwörter wirklich sicher für echte Konten?
Ja. Der Generator nutzt crypto.getRandomValues(), denselben sicheren RNG, der zur Erzeugung von Session-Tokens und Verschlüsselungs-Keys in produktiven Apps genutzt wird. Ein 16-Zeichen-Passwort aus diesem Generator hat rund 1031 mögliche Werte — weit jenseits dessen, was aktuelle Hardware brute-forcen kann. Für Alltagskonten, Master-Passwörter von Passwort-Managern und Krypto-Wallet-Passphrasen ist die Ausgabe geeignet.
Wird das erzeugte Passwort an einen Server gesendet?
Nein. Die Erzeugung läuft komplett in deinem Browser mit JavaScript. Nichts geht übers Netzwerk. Der Microapp-Server hat keinen Eintrag eines je erzeugten Passworts.
Wenn ich dieselben Optionen zweimal erzeuge, bekomme ich dasselbe Passwort?
Nein — das ist der Punkt. Jeder Klick produziert eine frische zufällige Auswahl. Es gibt keine Beziehung zwischen aufeinanderfolgenden Ausgaben, selbst mit identischen Einstellungen.
Soll ich dasselbe erzeugte Passwort für mehrere Konten nutzen?
Niemals. Passwörter über Seiten hinweg wiederzuverwenden ist die führende Ursache von Credential-Stuffing-Angriffen (wo geleakte Zugangsdaten aus einem Breach gegen andere Dienste probiert werden). Erzeuge eins pro Konto und speicher sie in einem Passwort-Manager.
Was ist die stärkste Einstellung?
Für typische Konten sind 16 Zeichen mit allen vier Zeichenklassen reichlich. Für Master-Passwörter, Verschlüsselungs-Keys oder alles, was du als katastrophal einstufen würdest, falls kompromittiert, gehe auf 20-24 Zeichen mit allen Klassen aktiviert. Darüber hinaus schrumpft der marginale Sicherheitsgewinn.
Warum lehnt meine Bank das erzeugte Passwort ab?
Manche Seiten haben Legacy-Zeichenset-Beschränkungen — sie lehnen bestimmte Sonderzeichen ab (oft $, %, &) oder begrenzen die Länge auf 12. Schalt Sonderzeichen ab und erhöhe die Länge auf 20+ zum Ausgleich. Das gibt dir etwa gleichwertige Stärke nur mit Buchstaben und Ziffern.
Was ist mit "Passphrasen" — vier zufällige Wörter?
Passphrasen (im "PferdBatterieKlammerHeftung"-Stil) sind super für die wenigen Passwörter, die du aus dem Gedächtnis tippen musst: Laptop-Login, Master-Passwort des Passwort-Managers, Handy-PIN. Für alles andere ist ein Zufalls-String aus diesem Generator kürzer, kompatibler mit Seitenanforderungen und gleich stark. Nutz beides — das richtige Werkzeug für die richtige Aufgabe.
Warum sind manche erzeugten Passwörter leichter zu tippen als andere?
Reiner Zufall. Der Generator zieht gleichverteilt aus dem gewählten Alphabet, sodass ein einzelnes Passwort zufällig ähnliche Zeichen mischen kann (viele Os und 0s) oder ungeschickt zwischen Groß- und Kleinschreibung wechselt. Wenn du das Passwort manuell tippen wirst statt es zu kopieren, erzeuge ein paar und nimm eins, das sich richtig anfühlt — oder aktiviere die Option "Mehrdeutige Zeichen vermeiden", um die kniffligsten Kombinationen rauszufiltern.