Passwort-Generator: Sichere Zufallspasswörter

Was ist der Passwort-Generator?

Der Passwort-Generator erstellt starke, kryptografisch sichere Passwörter mithilfe der Web Crypto API (crypto.getRandomValues) — derselben Zufallsquelle, die Ihr Betriebssystem für sicherheitskritische Vorgänge verwendet. Es handelt sich nicht um Pseudozufall: Jedes Zeichen wird aus einem Pool gezogen, dessen Größe sich nach den gewählten Zeichensätzen richtet. Rejection Sampling eliminiert dabei den Modulo-Bias.

Verwenden Sie dieses Tool, wenn Sie Passwörter für Testkonten, API-Schlüssel, lokale Secrets, Seed-Daten oder andere Szenarien benötigen, in denen vorhersehbare oder schwache Passwörter ein Sicherheitsrisiko darstellen würden. Das Tool generiert bis zu 100 Passwörter gleichzeitig, zeigt für jedes eine Entropieschätzung an und kopiert sie direkt in die Zwischenablage. Alles läuft in Ihrem Browser: Kein Passwort wird protokolliert oder übertragen.

Hauptfunktionen

• Kryptografisch sichere Zufälligkeit — verwendet crypto.getRandomValues mit Rejection Sampling (getUnbiasedRandomIndex), um den Modulo-Bias einfacher Implementierungen zu eliminieren.
• Anpassbare Länge (8–126 Zeichen) — einstellbar über einen Bereichsregler und ein numerisches Eingabefeld. Das Feld begrenzt automatisch auf den Bereich 8–128.
• Vier Zeichensätze — Großbuchstaben (A–Z, 26 Zeichen), Kleinbuchstaben (a–z, 26 Zeichen), Ziffern (0–9, 10 Zeichen) und Symbole (!@#$%^&*()_+-=[]{}|;:,.<>?, 26 Zeichen). Mindestens einer muss aktiv bleiben; das Tool verhindert das Deaktivieren des letzten aktiven Satzes.
• Mehrdeutige Zeichen ausschließen — entfernt O, 0, I, l und 1 aus dem Pool und beseitigt Zeichen, die in vielen Schriftarten ähnlich aussehen. Die Komponente definiert diese als 'O0Il1' (5 Zeichen).
• Entropieanzeige — zeigt Gesamtentropie in Bit, Zeichensatzgröße und Bit pro Zeichen in Echtzeit an, während Sie die Optionen anpassen. Die Formel lautet Länge × log2(Zeichensatzgröße).
• Sieben Stärkestufen — Schwach (< 40 Bit), Ausreichend (40–49), Gut (50–59), Stark (60–79), Sehr stark (80–99), Festung (100–149) und Absurd (150+ Bit). Jede Stufe hat einen eigenen Farbindikator.
• Massengenerierung (bis zu 100) — ein Bereichsregler steuert die Anzahl der pro Klick generierten Passwörter. Der Standardwert ist 1.
• In Zwischenablage kopieren — einzelne Passwörter oder alle auf einmal kopieren.
• Stärke-Leitfaden — eine Referenztabelle mit geschätzten Knackzeiten für Consumer-GPU- und staatliche Bedrohungsszenarien je Stärkestufe.

So verwenden Sie den Passwort-Generator

Schritt 1: Länge festlegen

Verwenden Sie den Bereichsregler (8–128) oder das numerische Eingabefeld, um die Passwortlänge zu wählen. Beide Steuerelemente bleiben synchron: Das Bewegen eines aktualisiert das andere. Der Standardwert ist 16 Zeichen.

Die Entropieanzeige aktualisiert sich sofort: Bei Länge 16 mit allen aktiven Zeichensätzen (88 Zeichen gesamt) erhalten Sie ungefähr 16 × log2(88) ≈ 103,4 Bit — bewertet als Festung.

Schritt 2: Zeichensätze wählen

Vier Kontrollkästchen steuern, welche Zeichen enthalten sind:

• Großbuchstaben A–Z — 26 Zeichen
• Kleinbuchstaben a–z — 26 Zeichen
• Ziffern 0–9 — 10 Zeichen
• Symbole — 26 Zeichen: !@#$%^&*()_+-=[]{}|;:,.<>?

Das Deaktivieren aller außer einem Satz ist erlaubt. Der Versuch, den letzten verbleibenden Satz abzuwählen, löst eine Fehlermeldung aus: „Please select at least one character set."

Schritt 3: Optional mehrdeutige Zeichen ausschließen

Aktivieren Sie „Mehrdeutige Zeichen ausschließen", um O, 0, I, l und 1 aus dem Pool zu entfernen. Das verringert die Zeichensatzgröße um 5 Zeichen. Die Entropieanzeige spiegelt die Reduzierung sofort wider. Diese Option ist nützlich, wenn Passwörter von einem Bildschirm abgelesen oder eingegeben werden — etwa beim Diktieren über ein Telefon oder beim Ausdrucken in Dokumentationen.

Schritt 4: Anzahl festlegen und generieren

Stellen Sie mit dem Zählerregler (1–100) ein, wie viele Passwörter pro Klick generiert werden sollen. Klicken Sie auf „Generate". Jedes Passwort wird unabhängig generiert, mit einem neuen Aufruf von getUnbiasedRandomIndex für jede Zeichenposition.

Eine Erfolgsmeldung bestätigt die Anzahl der generierten Passwörter. Die Ergebniskarte erscheint mit einer scrollbaren Liste, die jedes Passwort zusammen mit seinem individuellen Entropiewert und Stärkeindikator anzeigt.

Schritt 5: Passwörter kopieren

• Klicken Sie auf das Kopiersymbol in einer einzelnen Passwortzeile, um nur dieses Passwort zu kopieren.
• Klicken Sie auf „Copy All", um alle Passwörter als durch Zeilenumbrüche getrennten Text zu kopieren.

Die Komponente enthält eine Fallback-Kopiermethode mit document.execCommand('copy') für ältere Browser, in denen navigator.clipboard nicht verfügbar ist.

Praktische Beispiele

API-Schlüssel für eine Staging-Umgebung generieren. Sie benötigen 10 einzigartige Secrets für die Microservice-Authentifizierung. Stellen Sie die Länge auf 32 ein, behalten Sie alle Zeichensätze aktiv, stellen Sie die Anzahl auf 10 und klicken Sie auf „Generate". Kopieren Sie alles in die Zwischenablage und fügen Sie es in Ihren Secrets-Manager ein. Bei 32 Zeichen mit einem 88-Zeichen-Pool hat jedes Passwort etwa 207 Bit Entropie — fest im Absurd-Bereich.

Lesbare Passwörter für ein Team-Übergabedokument erstellen. Ein temporäres Admin-Passwort muss mündlich kommuniziert werden. Stellen Sie die Länge auf 16 ein, aktivieren Sie „Mehrdeutige Zeichen ausschließen" und behalten Sie alle anderen Sätze aktiv. Das resultierende Passwort enthält keine zum Verwechseln ähnlichen Zeichen, was das Vorlesen und korrekte Abtippen erleichtert.

Testkonten mit verschiedener Passwortkomplexität anlegen. Sie möchten die Passwortstärkeanzeige Ihrer App gegen mehrere Stufen testen. Generieren Sie Passwörter in verschiedenen Längen: 8 Zeichen (Schwach/Ausreichend), 12 Zeichen (Gut), 16 Zeichen (Stark/Sehr stark), 24 Zeichen (Festung). Verwenden Sie jedes als Seed-Wert in Ihren Test-Fixtures.

Tipps und Best Practices

Verstehen Sie die Stärkestufen, bevor Sie die Länge wählen. Bei 16 Zeichen mit allen Sätzen (88-Zeichen-Pool) beträgt die Entropie etwa 103 Bit (Festung). Eine Reduzierung auf 12 Zeichen ergibt etwa 78 Bit (Stark). Die Entropieanzeige zeigt diese Werte live an — manuelle Berechnungen sind nicht notwendig.

Längere Passwörter schlagen komplexere Zeichensätze in Bezug auf Entropie. Das Hinzufügen von Symbolen zu einem 12-Zeichen-Passwort (78 Bit) bringt weniger als eine Verlängerung um 2 Zeichen. Ein 14-Zeichen-Passwort mit nur Kleinbuchstaben (66 Bit: Gut) bietet mehr Entropie als ein 8-Zeichen-Mixed-Set-Passwort (52 Bit: Ausreichend), obwohl beide Faktoren nach wie vor wichtig sind.

Verwenden Sie „Mehrdeutige Zeichen ausschließen" selektiv. Das Entfernen von 5 Zeichen verringert die Entropie leicht. Für Maschine-zu-Maschine-Zugangsdaten, die kein Mensch liest, behalten Sie alle Zeichen aktiviert, um maximale Entropie zu gewährleisten.

Das Absurd-Niveau ist real. Bei 150+ Bit Entropie erfordert ein Passwort mehr Energie zum Brute-Forcen, als im beobachtbaren Universum bei aktuellen Rechenraten physisch vorhanden ist. Für ein 128-Zeichen-Passwort mit allen Sätzen beträgt die Entropie ungefähr 827 Bit. Das Tool rendert „Ludicrous" in einem mehrfarbigen Regenbogeneffekt.

Generieren Sie Mehrfachmengen, wenn Sie einzigartige Passwörter für verwandte Dienste benötigen. Stellen Sie die Anzahl auf 5 oder 10 ein und klicken Sie einmal auf „Generate". Jedes Passwort ist unabhängig zufällig, sodass Sie in einem Vorgang einen Satz einzigartiger Zugangsdaten erhalten.

Häufige Probleme und Fehlerbehebung

Fehler „Please select at least one character set". Sie haben versucht, das letzte aktive Zeichensatz-Kontrollkästchen abzuwählen. Das Tool verhindert dies durch frühzeitigen Abbruch und Anzeige des Fehlers. Aktivieren Sie mindestens einen anderen Satz, bevor Sie den aktuellen abwählen.

Kopierschaltfläche scheint nichts zu tun. Wenn navigator.clipboard nicht verfügbar ist (einige Browser-Sicherheitskontexte), greift das Tool auf document.execCommand('copy') zurück. Wenn beide lautlos scheitern, prüfen Sie, ob die Seite den Fokus hat und ob der Clipboard-Zugriff nicht durch Browser-Berechtigungen gesperrt ist.

Entropie liest sich niedriger als erwartet. Prüfen Sie, ob „Mehrdeutige Zeichen ausschließen" nicht unerwartet aktiviert ist: Es entfernt 5 Zeichen aus dem Pool. Stellen Sie außerdem sicher, dass alle gewünschten Zeichensätze aktiviert sind, da die Entropieanzeige nur die aktuelle Konfiguration widerspiegelt.

Generierte Passwörter enthalten keine Symbole, obwohl Symbole aktiviert sind. Zufälligkeit ist per Design unvorhersehbar: Ein kurzes Passwort könnte zufällig keine Symbolzeichen aus dem Pool ziehen. Der Generator garantiert nicht die Aufnahme jedes Zeichentyps, sondern nur, dass jeder Zeichentyp im Pool an jeder Position gleich wahrscheinlich ausgewählt wird. Erhöhen Sie die Länge, um die Wahrscheinlichkeit zu steigern, dass alle aktiven Sätze erscheinen.

Alle generierten Passwörter sehen ähnlich aus. Dies ist statistisch unwahrscheinlich bei kryptografischer Zufälligkeit und höchstwahrscheinlich ein Anzeigefehler. Ein Klick auf „Regenerate" im Ergebnisheader generiert einen neuen Satz.

Datenschutz und Sicherheit

Der Passwort-Generator verwendet crypto.getRandomValues, den kryptografisch sicheren Pseudozufallszahlengenerator des Browsers. Kein generiertes Passwort wird an einen Server gesendet: Es gibt keine API-Aufrufe, keine Analyseereignisse mit Passwortwerten und kein Logging. Der Rejection-Sampling-Algorithmus (getUnbiasedRandomIndex) eliminiert den Modulo-Bias, der bei einfacheren Ansätzen häufig vorkommt, und gewährleistet eine gleichmäßige Verteilung über alle Zeichensatzpositionen. Das Tool funktioniert offline, sobald die Seite geladen wurde. Generierte Passwörter werden von der Anwendung selbst nie gespeichert; sie existieren nur im Arbeitsspeicher Ihres Browsers, bis Sie sie kopieren oder die Seite verlassen.

Häufig gestellte Fragen

Ist der Passwort-Generator kostenlos? Ja, völlig kostenlos ohne Konto, ohne Registrierung und ohne Nutzungsbeschränkungen.

Ist er wirklich zufällig oder pseudozufällig? Das Tool ruft crypto.getRandomValues auf, den kryptografisch sicheren Zufallszahlengenerator (CSPRNG) des Browsers. Dies ist dieselbe Quelle, die für die TLS-Schlüsselgenerierung und andere sicherheitskritische Vorgänge verwendet wird. Es handelt sich nicht um eine einfache Pseudozufallsfunktion wie Math.random().

Was ist Modulo-Bias und vermeidet dieses Tool ihn? Modulo-Bias entsteht, wenn eine Zufallszahl modulo einer Zeichensatzgröße genommen wird, die den Zufallszahlraum nicht gleichmäßig teilt. Das Ergebnis ist eine leichte Überrepräsentation einiger Zeichen. Dieses Tool verwendet Rejection Sampling: Es verwirft Zufallswerte, die Bias einführen würden, und versucht es erneut, bis ein nutzbarer Wert gefunden wird. Die Funktion heißt getUnbiasedRandomIndex im Quellcode.

Kann ich Passwörter offline generieren? Ja. Sobald die Seite geladen ist, läuft die gesamte Generierung lokal ohne Netzwerkabhängigkeit.

Was entfernt „Mehrdeutige Zeichen ausschließen"? Es entfernt O, 0, I, l und 1 — fünf Zeichen, die in vielen Schriftarten optisch ähnlich aussehen. Dies ist nützlich für Passwörter, die von Menschen gelesen, getippt oder gesprochen werden.

Was sind die sieben Stärkestufen? Schwach (< 40 Bit), Ausreichend (40–49), Gut (50–59), Stark (60–79), Sehr stark (80–99), Festung (100–149) und Absurd (150+ Bit). Die Stärke wird aus Passwortlänge × log2(Zeichensatzgröße) berechnet.

Wie viele Passwörter kann ich auf einmal generieren? Bis zu 100 Passwörter pro Klick, gesteuert durch den Zählerregler.

Welche Zeichen sind im Symbolsatz enthalten? Der Symbolzeichensatz ist !@#$%^&*()_+-=[]{}|;:,.<>? — 26 Zeichen. Apostrophe und Backticks sind nicht enthalten, was häufige Shell-Escape-Probleme vermeidet.

Werden generierte Passwörter irgendwo gespeichert? Nein. Passwörter werden im Browser-Arbeitsspeicher generiert und in der Ergebnisliste angezeigt. Schließen oder Verlassen der Seite löscht sie. Premium-Supporter können das Verlaufspanel nutzen, um zuvor generierte Konfigurationen zu überprüfen, aber die tatsächlichen Passwortwerte werden nur lokal in IndexedDB gespeichert — nicht auf einem Server.

Welche Länge sollte ich für verschiedene Anwendungsfälle verwenden? Für allgemeine Konten: 16–20 Zeichen (Festung). Für hochwertige Ziele (Admin-Konten, Root-Zugangsdaten): 24–32 Zeichen. Für Maschine-zu-Maschine-API-Schlüssel ohne Längenbeschränkung: 32–64 Zeichen. Die Entropieanzeige gibt Ihnen Echtzeit-Feedback, während Sie anpassen.

Verwandte Tools

• Passphrase-Generator — merkfähige wortbasierte Passwörter mit vergleichbarer Entropie generieren.
• UUID-Generator — RFC-konforme universell eindeutige Bezeichner für Nicht-Passwort-Anwendungsfälle generieren.
• Hash-Generator — generierte Passwörter mit SHA-256, SHA-512 oder anderen Algorithmen hashen.

Jetzt den Passwort-Generator ausprobieren: Passwort-Generator