Passwort-Generator: Starke zufällige Zeichen-Passwörter
Erzeuge kryptografisch sichere Zufalls-Passwörter (8-128 Zeichen) mit konfigurierbaren Zeichensätzen, Filter für mehrdeutige Zeichen und Live-Entropie-Anzeige.
Was ist der Passwort-Generator?
Der Passwort-Generator baut dichte Zufalls-Zeichenpasswörter mit crypto.getRandomValues und Rejection Sampling. Jedes Zeichen wird mit gleicher Wahrscheinlichkeit aus dem gewählten Alphabet gezogen, ohne Modulo-Bias. Es ist das richtige Tool, wenn du ein Credential brauchst, das du nie selbst tippen wirst — API-Keys, Einträge im Passwortmanager, Service-Accounts, alles, was im Vault lebt. Ich nutze standardmäßig 24 Zeichen mit allen vier Zeichenklassen, dann 32 oder 40 für Root-Accounts und Signing-Keys. Wenn du etwas Einprägsames statt Dichtes brauchst, macht der Passphrase Generator auf dieser Seite den XKCD-Wort-Ansatz. Diese Seite handelt vom umgekehrten Trade-off: maximale Entropie pro Zeichen, null Memorierbarkeit.
Hauptfunktionen
- Kryptografisch sichere Quelle — die Randomness kommt von
crypto.getRandomValues, dem CSPRNG hinter der Web Crypto API. Der Generator nutzt Rejection Sampling statt naivem Modulo, damit ein 88-Zeichen-Alphabet uniform verteilte Picks liefert und nicht zu den ersten 26 Buchstaben hin verzerrt. - Längen-Slider von 8 bis 128 — zieh den Slider oder tippe eine Zahl. Ein Zahleneingabefeld erlaubt einen exakten Wert. Acht ist die Untergrenze, weil kürzer nicht erzeugenswert ist; 128 ist die Decke für Felder, die abschneiden.
- Vier unabhängige Zeichenklassen-Toggles — Großbuchstaben A-Z, Kleinbuchstaben a-z, Ziffern 0-9 und Symbole
!@#$%^&*()_+-=[]{}|;:,.<>?. Hak ab, was dein Zielsystem ablehnt. Das Tool blockiert das Abwählen der letzten verbleibenden Klasse, damit du nicht aus einem leeren Alphabet generieren kannst. - Mehrdeutige Zeichen ausschließen — entfernt
O,0,I,l,1aus dem Alphabet. Kostet etwa 0,4 Bit pro Zeichen und erspart dir das Schielen auf einen ausgedruckten Recovery-Code. - Live-Entropie-Panel — Gesamt-Bits, Charset-Größe und Bits pro Zeichen rechnen sich neu, sobald du Klassen umschaltest oder den Längenregler ziehst. Die Bit-Summe ist farbcodiert auf einer siebenstufigen Skala von Weak (rot) bis Ludicrous (Regenbogen).
- Bulk-Generierung bis 100 — setz den Count-Slider und klick Generate, um bis zu 100 Kandidaten auf einmal zu erzeugen, jeder mit eigener Entropie-Anzeige.
- Pro-Zeile- und Bulk-Copy — jedes erzeugte Passwort hat seinen eigenen Copy-Button, und Copy All hängt die Liste mit Newlines aneinander. Beide fallen auf
execCommand('copy')zurück, falls die Clipboard API nicht verfügbar ist. - Strength-Tier pro Passwort — jede Output-Zeile zeigt ihre Bit-Anzahl und ein farbiges Tier-Label (Weak, Fair, Good, Strong, Very Strong, Fortress, Ludicrous).
So benutzt du den Passwort-Generator
Schritt 1: Länge einstellen
Der "Length"-Slider läuft von 8 bis 128. Das Label zeigt den aktuellen Wert. Das Zahleneingabefeld daneben akzeptiert denselben Bereich und klemmt Werte außerhalb der Grenzen, sobald du das Feld verlässt. Sechzehn ist der Default und passt für normale Accounts; spring auf 24 oder 32 für sensible Sachen.
Schritt 2: Zeichenklassen wählen
Vier Checkboxen unter "Character Sets" schalten das Alphabet:
- Großbuchstaben (A-Z) — 26 Zeichen
- Kleinbuchstaben (a-z) — 26 Zeichen
- Ziffern (0-9) — 10 Zeichen
- Symbole — 26 Zeichen aus
!@#$%^&*()_+-=[]{}|;:,.<>?
Alle vier sind standardmäßig an, ergibt ein 88-Zeichen-Alphabet (~6,46 Bit pro Zeichen). Hak ab, was dein Zielsystem verbietet. Wenn ein Service Symbole ablehnt, verlierst du etwa 0,4 Bit pro Zeichen; gleich es mit ein paar Zeichen mehr Länge aus.
Schritt 3: Über mehrdeutige Zeichen entscheiden
Die Checkbox "Exclude ambiguous characters" unter den Klassen-Toggles entfernt O, 0, I, l, 1 aus dem kombinierten Alphabet. Hak sie an für jedes Passwort, das du von Papier abliest — gedruckte Recovery-Codes, handgeschriebene Wallet-Seeds, am Telefon vorgelesene Strings für den Support. Lass sie aus für Vault-only-Credentials, bei denen Lesbarkeit egal ist und jedes Bit zählt.
Schritt 4: Entropie-Panel lesen
Die graue Leiste unter den Optionen zeigt drei Zahlen:
- Total entropy — Bits Randomness in einem Passwort der konfigurierten Länge und des Alphabets, farbcodiert nach Tier.
- Charset — aktuelle Alphabet-Größe nach Klassen-Toggles und Ausschluss mehrdeutiger Zeichen.
- Bits per char —
log2(charset_size). Mit allen vier Klassen an und ohne Ausschluss:log2(88) ≈ 6,46.
Die Strength-Tiers mappen auf die Gesamt-Bit-Anzahl:
- Weak (rot): unter 40 Bit
- Fair (orange): 40-49 Bit
- Good (gelb): 50-59 Bit
- Strong (lime): 60-79 Bit
- Very Strong (cyan): 80-99 Bit
- Fortress (violett): 100-149 Bit
- Ludicrous (Regenbogen): 150+ Bit
Praktisch: 60 Bit ist der Boden, 80 Bit das Routine-Ziel, 100+ ist die Master-Credential- oder Signing-Key-Klasse.
Schritt 5: Generieren, prüfen, kopieren
Setz den "Generate"-Count-Slider (1-100) und klick Generate. Die Ergebnisse erscheinen in einer scrollbaren Liste, nummeriert, jedes mit eigener Entropie-Anzeige und Tier-Label. Das Copy-Icon neben einer Zeile kopiert dieses eine Passwort; Copy All kopiert die volle Liste, mit Newlines verbunden. Clear löscht die Liste. Regenerate oben im Ergebnisfeld erzeugt einen frischen Batch mit denselben Einstellungen.
Praktische Beispiele
Ein 24-Zeichen-Eintrag im Passwortmanager
Einstellungen: Länge 24, alle vier Klassen an, mehrdeutige Zeichen aus, Count 5.
Beispiel-Output:
qP7$mK#xR2!nVz8&jL*pYwH9Das sind 24 * log2(88) ≈ 155 Bit — Ludicrous-Tier. Das ist das stinknormale "im 1Password speichern und nie wieder ansehen"-Credential. Fünf auf einmal zu erzeugen lässt dich den auswählen, dessen erste paar Zeichen nicht unangenehm zu tippen sind, falls dein Manager mal nicht autofillt und du es manuell tippen musst.
Ein Ersatz-API-Key für einen kompromittierten Service-Account
Einstellungen: Länge 40, Großbuchstaben + Kleinbuchstaben + Ziffern, Symbole aus (manche HTTP-Clients vermurksen sie immer noch in Headern), mehrdeutige Zeichen aus.
Beispiel-Output:
aFq2KpRy7nMxBz4tHsWvLg3jCdN8VuTeXrYzPmQkDas sind 40 * log2(62) ≈ 238 Bit. Symbole-aus drückt die Bits pro Zeichen von 6,46 auf 5,95, aber die Länge gleicht das mehr als aus, und du vermeidest Edge Cases, in denen & oder + im Header-Wert irgendwo unerwartet URL-decoded wird. Der kompromittierte Key wird rotiert, der neue Wert geht in den Secret-Manager, und die 40-Zeichen-Länge sorgt dafür, dass selbst bei versehentlichem Logging Brute Force keine Option ist.
Ein Wegwerf-Passwort für eine Seite, die du nie wieder besuchst
Einstellungen: Länge 16, nur Kleinbuchstaben + Ziffern, mehrdeutige Zeichen aus, Count 1.
Beispiel-Output:
8kqr3zhmf4td9xbnEtwa 16 log2(31) ≈ 79 Bit. Kleinbuchstaben und Ziffern mit ausgeschlossenen mehrdeutigen Zeichen ist das, wozu du greifst, wenn das Signup-Formular eines Forums Symbole ablehnt und du nicht zwei Minuten debuggen willst, warum ihren Validator zum Schreien bringt. Es sind immer noch 79 Bit — Strong — was für eine Seite, die du nie wieder ansiehst, übertrieben ist, aber der Passwortmanager merkt es sich, also ist Übertreibung gratis.
Tipps und Best Practices
Länge schlägt Komplexität auf jedem Tier. Ein 30-Zeichen-Lowercase-only-String (~141 Bit) ist stärker als ein 16-Zeichen-Alle-Klassen-String (~103 Bit). Wenn eine Seite "muss Großbuchstaben, Ziffer und Symbol enthalten" erzwingt, hak alle Boxen an; wenn nicht, ist länger-und-einfacher die handlichere Wahl.
60 ist der Boden, 80 das Routine-Ziel, 100+ die High-Value-Klasse. Unter 60 Bit fressen GPU-Cluster den Keyspace in Tagen. Über 80 brauchen selbst Nation-State-Rigs Jahre. Über 100 hast du das Brute-Force-Regime ganz verlassen. Wähl eine Länge, die die Farbe leuchten lässt, die du willst.
Nutze einen Passwortmanager und lass ihn alles merken. Ein zufälliges 24-Zeichen-Passwort ist nach Design unmemorabel. Wenn ein Credential etwas ist, das du tatsächlich tippen musst — ein Master-Passwort, ein Disk-Encryption-Key, eine Recovery-Phrase — erzeug es stattdessen mit dem Passphrase Generator. Zufällige Zeichen und Wort-Passphrasen sind verschiedene Werkzeuge für verschiedene Probleme.
Erzeug zehn und such dir einen aus. Bei Count 5-10 kannst du nach einem Kandidaten suchen, der nicht mit einer schlecht zu tippenden Sequenz anfängt (!@#$ ist mathematisch äquivalent zu jeden anderen vier Zeichen, aber ergonomisch rauer). Drei Sekunden Auswahl zahlen sich an dem einen Tag aus, an dem das Autofill versagt.
Generierte Passwörter nicht nachbearbeiten. Widerstehe dem Drang, sie "memorabler" zu machen, indem du Zeichen ersetzt oder umstellst. Alles, was du nach der Erzeugung am String tust, senkt die Entropie unter den Panel-Wert. Akzeptier den Output oder erzeug einen frischen.
Häufige Probleme und Troubleshooting
"Please select at least one character set" — alle Klassen-Checkboxen sind ausgehakt. Das Tool verhindert das Abwählen der letzten Klasse, aber die Fehlermeldung erscheint, wenn du Generate klickst, bevor irgendeine Klasse angehakt ist. Hak mindestens eine an und versuch's nochmal.
Eine Seite weist das erzeugte Passwort als zu lang ab. Manche Legacy-Formulare cappen Eingaben still bei 16, 20 oder 32 Zeichen — sie akzeptieren den längeren String, speichern aber nur die ersten N Zeichen. Wenn du dich mit dem vollen String nicht anmelden kannst, dreh den Längenregler runter und versuch das rotierte Credential erneut. Häng kein 64-Zeichen-Passwort in ein System, das du nicht auf diese Länge geprüft hast.
Eine Seite weist bestimmte Symbole ab. Hak "Symbols" komplett ab und erhöh die Länge um 4-6 Zeichen, um die verlorene Entropie zurückzuholen. Dieser Generator hat kein Custom-Symbol-Feld — erzeug ohne Symbole und füg dann ein paar erlaubte Symbole an zufälligen Stellen ein, falls das Formular sie verlangt.
Die Entropie-Anzeige steht selbst bei 16 Zeichen auf "Weak". Wahrscheinlich ist nur eine Klasse angehakt. Sechzehn Ziffern-only sind 16 * log2(10) ≈ 53 Bit — Good. Schalt eine zweite Klasse zu und sieh die Bit-Zahl springen.
Generierte Passwörter sehen "nicht zufällig genug" aus. Zufallsoutput produziert regelmäßig Cluster, die nicht zufällig wirken — drei Vokale hintereinander, zwei benachbarte Großbuchstaben. Menschliche Mustererkennung markiert sie als "falsch", aber genau so sieht uniforme Randomness aus.
Datenschutz und Sicherheit
Die Passwort-Erzeugung läuft in deinem Browser über crypto.getRandomValues, den von der Web Crypto API bereitgestellten CSPRNG. Erzeugte Passwörter werden nie an einen Server gesendet. Das History-Panel unter dem Tool speichert die letzten Erzeugungen ausschließlich in der IndexedDB deines Browsers, damit du etwas wiederfinden kannst, das du kopiert und verloren hast; lösch es im Panel, wenn du fertig bist, oder nutz das Tool im Privat-/Inkognito-Fenster, wenn du keinerlei lokale Spur willst. Der CSPRNG des Browsers wird auf jeder modernen Plattform durch OS-Level-Entropie geseedet, also gibt es kein "vertrau mir, der Seed ist gut"-Caveat.
Häufig gestellte Fragen
Warum zufällige Zeichen statt einer Passphrase?
Zufällige Zeichen sind pro Zeichen dichter — etwa 6,46 Bit pro Zeichen mit allen Klassen an, gegenüber 12,9 Bit pro Wort bei einer 7.776-Wörter-Passphrase-Liste. Für Credentials, die du nie tippst, gewinnt Dichte, weil Länge billig ist. Für Credentials, die du tippst, gewinnen Passphrasen, weil Memorierbarkeit zählt. Nutz dieses Tool für Vault-only-Credentials und den Passphrase Generator für Master-Passwörter und Recovery-Phrasen.
Was ist Rejection Sampling und warum ist es wichtig?
Wenn du ein Random-Byte (0-255) erzeugst und es modulo 88 nimmst, um aus einem 88-Zeichen-Alphabet zu picken, sind die ersten 88 Outputs von byte % 88 leicht wahrscheinlicher als die letzten 80, weil 256 kein Vielfaches von 88 ist. Rejection Sampling verwirft Werte, die im verzerrten Bereich landen würden, und würfelt neu, was eine uniforme Verteilung produziert. Dieses Tool nutzt das auf einem 32-Bit-Random-Integer für jedes Zeichen.
Wie lang sollte mein Passwort sein?
Was immer 80+ Bit im Entropie-Panel produziert für Routine-Credentials, 100+ für High-Value-Credentials. Mit allen vier Klassen an sind 13 Zeichen 84 Bit und 16 Zeichen 103 Bit. Das Panel macht die Mathematik; ziel auf eine Grün-oder-besser-Stufe.
Kann ich ein Passwort erzeugen, das eine bestimmte Policy erfüllt (muss eines aus jeder Klasse enthalten)?
Dieses Tool erzwingt keine "mindestens ein Großbuchstabe, mindestens eine Ziffer"-Regeln. Mit allen vier Klassen angehakt und Länge ≥ 16 liegt die praktische Chance, eine Klasse zu verfehlen, unter 5%. Wenn ein Formular den Output ablehnt, einfach neu erzeugen.
Was passiert, wenn ich ein erzeugtes Passwort verliere?
Wenn du es in einen Passwortmanager kopiert hast, hol es dort raus. Sonst schau ins History-Panel unter dem Tool — es speichert die letzten Erzeugungen in der IndexedDB deines Browsers. Wenn du die History gelöscht oder im Inkognito-Modus erzeugt hast, ist das Passwort unwiederbringlich; rotier das Credential beim Zielservice.
Verwandte Tools
- Passphrase Generator — erzeuge XKCD-Stil-merkbare Wort-Passphrasen für Credentials, die du selbst tippen wirst.
- UUID Generator — erzeug v4 UUIDs, wenn du einen global eindeutigen Identifier statt eines Credentials brauchst.
- Hash Suite — produzier SHA-256-, SHA-512- oder BLAKE2-Hashes erzeugter Passwörter als deterministische Seeds.
- Base64 Encoder/Decoder — kodier ein erzeugtes Passwort für sicheren Transport in Umgebungen, die mit Rohbytes Probleme haben.
- Demnächst verfügbar: Argon2 Hash — hash ein Passwort mit dem modernen KDF, wenn du es zur Verifikation statt zur Wiederherstellung speichern musst.
Probier den Passwort-Generator jetzt aus: Passwort-Generator