Was ist crypto.getRandomValues und warum spielt es eine Rolle?

crypto.getRandomValues ist eine Web Crypto API, die in alle modernen Browser eingebaut ist. Sie erzeugt kryptografisch sichere Zufallszahlen mit der Entropiequelle deines Betriebssystems, was sie weit überlegen gegenüber Math.random() für Sicherheitszwecke macht. Alle wichtigen Passwortmanager verwenden die gleiche API.

Was ist der Unterschied zwischen einem Passwort und einer Passphrase?

Ein Passwort ist eine Zeichenkette aus Zufallszeichen (z. B. “kX9#mZp2”). Eine Passphrase ist eine Folge von Zufallswörtern (z. B. “korrekt-pferd-batterie-klammer”). Passphrasen sind leichter zu merken und zu tippen und bieten gleichzeitig ausgezeichnete Sicherheit. Eine 4-Wort-Passphrase hat ungefähr die gleiche Entropie wie ein 10-Zeichen-Zufallspasswort.

Wie wird die Knackzeit berechnet?

Die Knackzeit wird geschätzt, angenommen ein Angreifer führt 10 Milliarden Vermutungen pro Sekunde durch (ein High-End-GPU-Cluster). Die Gesamtzahl möglicher Passwörter wird durch diese Rate dividiert. Zum Beispiel hat ein 16-Zeichen-Passwort mit gemischten Zeichen etwa 4x10^31 Kombinationen, was bei 10 Milliarden Vermutungen pro Sekunde über eine Billion Jahre dauern würde.

Warum mehrdeutige Zeichen ausschließen?

Mehrdeutige Zeichen wie 0/O, 1/l/I und 2/Z sehen in vielen Schriftarten ähnlich aus, was Verwirrung beim Lesen oder manuellen Tippen von Passwörtern verursachen kann. Sie auszuschließen ist nützlich, wenn du ein Passwort aufschreiben oder diktieren musst. Für Passwörter, die in einem Manager gespeichert sind, schließe alle Zeichen für maximale Entropie ein.

Kann ich diesen Passwortgenerator offline verwenden?

Ja. Da die Passwortgenerierung vollständig in deinem Browser mit JavaScript und der Web Crypto API erfolgt, funktioniert das Tool ohne Internetverbindung, sobald die Seite geladen ist. Während der Passwortgenerierung werden keine Server-Aufrufe getätigt.

Ist eine 4-stellige PIN sicher?

Eine 4-stellige PIN hat nur 10.000 mögliche Kombinationen, was gegen Offline-Angriffe sehr schwach ist. PINs werden jedoch typischerweise mit Sperrausfallmechanismen verwendet (z. B. 3 fehlgeschlagene Versuche sperren das Gerät), was sie für Telefone und Bankkarten angemessen macht. Verwende für alles ohne Sperrschutz eine 6-8-stellige PIN oder ein vollständiges Passwort.

Passwortgenerator

Erstelle sofort starke, zufällige Passwörter. Völlig im Browser — nichts verlässt deinen Browser.

100% im Browser Keine Anmeldung Sofort

Länge 16

Großbuchstaben A–Z

Kleinbuchstaben a–z

Zahlen 0–9

Symbole !@#$%^&*()

Mehrdeutige ausschließen O 0 I l 1 |

Wörter 4

Trennzeichen

Wörter groß schreiben Erster Buchstabe groß

Zahl einschließen Zufallszahl zwischen Wörtern hinzufügen

Länge 6

Anzahl:

Vollständig in deinem Browser mit crypto.getRandomValues() generiert. Nichts wird an einen Server gesendet.

So verwendest du den Passwortgenerator

Wähle deinen Modus

Wähle “Zufällig” für zeichenbasierte Passwörter, “Passphrase” für wortbasierte Passwörter oder “PIN” für Zahlencodes.

Passe Einstellungen an

Stelle deine gewünschte Länge ein, aktiviere oder deaktiviere Zeichentypen und wähle Voreinstellungen für übliche Längen.

Kopieren & verwenden

Dein Passwort wird sofort generiert. Klicke “Kopieren”, um es in die Zwischenablage zu speichern, oder erzeuge ein neues.

Was macht ein starkes Passwort aus?

Nach NIST SP 800-63B (2024) und CISA-Richtlinien hängt die Passwortsträrke von drei Faktoren ab: Länge, Zufälligkeit und Eindeutigkeit. Die aktualisierten Bundesstandards verzichten auf Anforderungen zur Komplexität (Groß-/Kleinschreibung, Sonderzeichen) zugunsten längerer Passwörter, da jeder zusätzliche Buchstabe die Schwierigkeit von Brute-Force-Angriffen exponentiell erhöht.

Hier sind 5 Regeln für die Erstellung starker Passwörter im Jahr 2026:

Mach es lang — mindestens 16 Zeichen. NIST empfiehlt jetzt mindestens 15 Zeichen für die Authentifizierung mit einem Faktor (SP 800-63B Rev. 4). Jedes zusätzliche Zeichen vervielfacht die Knackdauer exponentiell.
Mach es zufällig — verwende einen Passwortgenerator. Menschen sind furchtbar in Zufälligkeit — wir neigen zu Mustern, Wörterbuch-Wörtern und persönlichen Informationen, die Angreifer ausnutzen.
Mach es eindeutig — ein Passwort pro Konto. 94% der Passwörter werden über mehrere Konten hinweg wiederverwendet. Wenn ein Dienst gehackt wird, sind alle deine Konten mit diesem Passwort kompromittiert.
Vergiss die Komplexitäts-Tricks — “P@$$w0rt!” sieht komplex aus, ist aber trivial zu knacken. Eine 20-Zeichen lange Zufallszeichenkette aus Kleinbuchstaben ist viel stärker als eine 8-Zeichen lange Zeichenkette mit erzwungenen Symbolen.
Verwende einen Passwortmanager — die einzige praktische Möglichkeit, eindeutige Passwörter mit 16+ Zeichen für jedes Konto zu pflegen. Ein Generator erstellt die Passwörter, ein Manager speichert sie.

Warum starke Passwörter 2026 wichtig sind

Datenlecks sind keine seltenen Ereignisse mehr — sie sind konstant. Allein 2024 wurden über 1,7 Milliarden Anmeldedaten in öffentlich gemeldeten Lecks offengelegt, und die tatsächliche Zahl ist wahrscheinlich viel höher. Datenbanken wie die “RockYou2024”-Kompilation enthalten fast 10 Milliarden eindeutige Passworteinträge und geben Angreifern ein großes Wörterbuch für Credential-Stuffing-Angriffe in die Hand.

Das Kernproblem ist Passwortwiederverwendung. Wenn ein Dienst gehackt wird, testen Angreifer automatisch das gleiche E-Mail- und Passwort-Paar gegen Tausende anderer Websites — Banken, E-Mail-Anbieter, Cloud-Speicher, soziale Medien. Ein einzelnes durchgesickertes Passwort kann zu einer vollständigen Identitätskompromittierung führen, wenn es deine primäre E-Mail entsperrt, die wiederum jedes andere Konto zurücksetzen kann.

Deshalb ist ein Passwortmanager nicht mehr optional. Die durchschnittliche Person hat 70–100 Online-Konten. Niemand kann sich so viele eindeutige, hochentropische Passwörter merken. Ein Passwortmanager lässt dich für jeden Dienst ein unterschiedliches Zufallspasswort generieren und es sofort abrufen. Du merkst dir ein starkes Hauptpasswort, der Manager kümmert sich um den Rest. In Kombination mit Zwei-Faktor-Authentifizierung beseitigt dieser Ansatz die überwiegende Mehrheit der anmeldungsgestützten Angriffe, bevor sie beginnen.

Passwortträrke nach Länge

Wie lange würde es dauern, dein Passwort zu knacken? Diese Schätzungen basieren auf 2025-Daten von Hive Systems und gehen von einem modernen GPU-Cluster (12× RTX 5090) aus, der bcrypt-Hashes angreift (Kostenfaktor 10):

Länge	Nur Zahlen	Kleinbuchstaben	+ Großbuchstaben	Alle Zeichen	Entropie (alle)
6	Sofort	Sofort	Sofort	1 Sekunde	39 Bits
8	Sofort	57 Minuten	4 Tage	8 Monate	53 Bits
10	Sofort	2 Jahre	300 Jahre	58K Jahre	66 Bits
12	3 Minuten	2.000 Jahre	880K Jahre	3 Milliarden Jahre	79 Bits
14	5 Stunden	2M Jahre	600M Jahre	31 Billionen Jahre	92 Bits
16	21 Tage	477M Jahre	380B Jahre	30 Billiarden Jahre	105 Bits
20	5 Jahre	39T Jahre	253.000T Jahre	Praktisch niemals	131 Bits
32	1B Jahre	Jenseits des Wärmetods des Universums			210 Bits

Die Zeiten setzen Offline-Brute-Force gegen bcrypt-Hashes voraus. Online-Angriffe mit Ratenbegrenzung sind viel langsamer. Schwaches Hashing (MD5, SHA-1) reduziert Zeiten um mehrere Größenordnungen.

Passwort vs. Passphrase

Eine Passphrase ist eine Folge von zufälligen, nicht verwandten Wörtern (z. B. “korrekt-pferd-batterie-klammer”). Hier ist ein Vergleich mit traditionellen Zufallspasswörtern:

Kriterium	Zufallspasswort	Passphrase
Beispiel	`k7#mQ9$xL2!pN4w`	`korrekt-pferd-batterie-klammer`
Typische Länge	12-20 Zeichen	20-40 Zeichen
Entropie (typisch)	79-131 Bits	52-108 Bits (4-7 Wörter)
Merkbarkeit	Unmöglich ohne Manager	Moderat — mentale Bilder helfen
Tipp-Leichtigkeit	Niedrig — gemischte Symbole	Hoch — normale Wörter
Am besten für	Website-Konten (in Manager gespeichert)	Hauptpasswörter, Geräteverschlüsselung
NIST-konform	Ja (wenn 15+ Zeichen)	Ja (wenn 15+ Zeichen)

Wichtige Erkenntnis: Passphrasen tauschen Entropiedichte gegen Merkbarkeit ein. Eine 5-Wort-Zufallspassphrase (~86 Bits) ist leichter zu merken als ein 12-Zeichen-Zufallspasswort (~79 Bits), während sie sicherer ist. Für maximale Sicherheit verwende Zufallspasswörter, die in einem Passwortmanager gespeichert sind.

Häufige Passwortfehler

Nach einer Analyse des Dark Web von NordPass aus 2025 sind die 10 häufigsten Passwörter:

#	Passwort	Vorkommen	Zeit zum Knacken
1	`123456`	179,9M	Sofort
2	`123456789`	67,4M	Sofort
3	`12345678`	63,9M	Sofort
4	`password`	46,6M	Sofort
5	`12345`	28,3M	Sofort
6	`qwerty`	22,0M	Sofort
7	`1234567`	16,3M	Sofort
8	`1234567890`	15,8M	Sofort
9	`111111`	12,2M	Sofort
10	`qwerty123`	12,0M	Sofort

Jeder dieser Werte wird sofort geknackt. Die 5 häufigsten Passwortfehler, die Menschen machen:

Passwörter wiederverwendet — 80-85% der Menschen verwenden Passwörter über mehrere Websites hinweg wieder. Ein Leck kompromittiert alle deine Konten.
Persönliche Informationen verwenden — Namen, Geburtstage, Haustiernamen und Adressen sind leicht auf sozialen Medien und öffentlichen Datenbanken zu finden.
Tastaturmuster — “qwerty,” “asdf” und “zxcv” gehören zu den ersten Kombinationen, die Angreifer versuchen.
Einfache Ersetzungen — “a” durch “@” ersetzen oder “e” durch “3” (Leetspeak) ist den Knackern bekannt und bietet vernachlässigbare Sicherheit.
Inkrementelle Änderungen — “Passwort1” in “Passwort2” ändern, wenn Rotation erforderlich ist. NIST empfiehlt jetzt ausdrücklich gegen obligatorische Passwortrotation.

Häufig gestellte Fragen

Ist dieser Passwortgenerator sicher zu verwenden?

Ja. Dieser Generator läuft vollständig in deinem Browser mit JavaScript. Passwörter werden niemals an einen Server gesendet. Er verwendet crypto.getRandomValues(), den eingebauten kryptografisch sicheren Zufallszahlengenerator des Browsers — die gleiche API, die von Passwortmanagern wie Bitwarden und 1Password verwendet wird.

Was macht ein Passwort stark?

Ein starkes Passwort hat drei Eigenschaften: Länge (mindestens 16 Zeichen, nach CISA-Empfehlungen), Zufälligkeit (keine Wörterbuch-Wörter, Namen, Daten oder Muster) und Eindeutigkeit (nie über Konten hinweg wiederverwendet). NIST verzichtete auf obligatorische Sonderzeichenanforderungen zugunsten der Länge, da jedes zusätzliche Zeichen die Schwierigkeit von Brute-Force-Angriffen exponentiell erhöht.

Wie lang sollte mein Passwort sein?

NIST empfiehlt jetzt ein Minimum von 15 Zeichen für die Authentifizierung mit einem Faktor (SP 800-63B Rev. 4). CISA empfiehlt 16 oder mehr Zeichen. Für Authentifizierung mit mehreren Faktoren sind 8 Zeichen das Minimum. Der Sweet Spot für die meisten Benutzer liegt bei 16-20 Zeichen — lang genug, um Jahrzehnte sicher zu sein, handhabbar mit einem Passwortmanager.

Was ist eine Passphrase und ist sie besser als ein Passwort?

Eine Passphrase ist eine Folge von 4-7 zufälligen, nicht verwandten Wörtern (z. B. “korrekt-pferd-batterie-klammer”). Eine 5-Wort-Zufallspassphrase hat etwa 86 Bits Entropie — stärker als ein 12-Zeichen-komplexes Passwort (~79 Bits) — während sie leichter zu merken ist. Passphrasen sind ideal für Hauptpasswörter, in denen du aus dem Gedächtnis tippen musst. Für Website-Konten sind Zufallszeichenpasswörter, die in einem Passwortmanager gespeichert sind, gleich sicher und prakтischer.

Wie oft sollte ich meine Passwörter ändern?

NIST empfiehlt nicht länger Routineänderungen von Passwörtern. Die aktualisierten 2024-Richtlinien besagen ausdrücklich, dass Organisationen “keine” periodische Passwortrotation verlangen dürfen, wenn es keine Anhaltspunkte für einen Kompromiss gibt. Erzwungene Änderungen führten zu vorhersehbaren Mustern. Ändere dein Passwort nur, wenn du verdachst, dass es kompromittiert wurde, ein Dienst einen Datenleck meldet oder du das Passwort geteilt hast und den Zugriff widerrufen möchtest.

Was ist Passwort-Entropie?

Entropie misst die Unvorhersehbarkeit eines Passworts in Bits. Die Formel ist E = log2(R^L), wobei R die Zeichenpoolsgröße und L die Passwortlänge ist. Jedes Bit verdoppelt die Anzahl möglicher Kombinationen. Unter 35 Bits ist schwach (geknackt in Minuten), 60-75 Bits ist stark, 75-100 ist sehr stark und 100+ Bits ist ausgezeichnet. Ein 16-Zeichen-Passwort mit allen Zeichentypen hat etwa 105 Bits Entropie.

Was ist Zwei-Faktor-Authentifizierung (2FA)?

Zwei-Faktor-Authentifizierung erfordert einen zweiten Verifizierungsschritt über dein Passwort hinaus — typischerweise einen Code aus einer Authenticator-App, SMS oder einem Hardware-Sicherheitsschlüssel. Auch wenn dein Passwort gestohlen wird, kann der Angreifer dein Konto ohne den zweiten Faktor nicht zugreifen. Authenticator-Apps (Google Authenticator, Authy) sind sicherer als SMS, und Hardware-Schlüssel (YubiKey) sind die sicherste Option. Aktiviere 2FA mindestens bei E-Mail, Banking und sozialen Medien.

Wie werden Passwörter geknackt?

Angreifer verwenden mehrere Methoden: Brute Force versucht jede Kombination (schnell für kurze Passwörter, unpraktisch für 16+ Zeichen). Wörterbuch-Angriffe versuchen häufige Wörter, Namen und durchgesickerte Passwörter. Credential Stuffing verwendet gestohlene Nutzername/Passwort-Paare aus einem Leck, um sich auf anderen Websites anzumelden. Rainbow Tables verwenden vorgenerierte Hash-Lookups für Offline-Knacken. Phishing täuscht dich dazu, Anmeldedaten auf gefälschten Websites einzugeben. Ein Zufallspasswort mit 16 Zeichen besiegt Brute-Force- und Wörterbuch-Angriffe; eindeutige Passwörter besiegen Credential Stuffing.

Sollte ich einen Passwortmanager verwenden?

Ja. CISA, NIST und jede große Sicherheitsorganisation empfehlen die Verwendung eines Passwortmanagers. Er generiert, speichert und füllt starke eindeutige Passwörter für jedes Konto automatisch aus — du merkst dir nur ein Hauptpasswort. Dies eliminiert Passwortwiederverwendung, die Nummer eins Ursache von Kontoübernahmen. Ein Passwortgenerator (wie dieses Tool) erstellt die Passwörter; ein Passwortmanager speichert sie. Beliebte Optionen sind Bitwarden (kostenlos/Open Source), 1Password und Dashlane.

Ist dieses Tool wirklich kostenlos?

Ja, völlig kostenlos ohne Limits. Keine Anmeldung, kein Konto erforderlich, keine Beschränkungen, wie viele Passwörter du generieren kannst. Das Tool läuft in deinem Browser ohne Server-Interaktion. Verwende es so viel wie nötig.