Passwort-Generator
Kryptografisch sicher // v1.0
Bereich: 4-64
Bereich: 1-10
Warte auf Eingabe...
Was ist ein Zufalls-Passwortgenerator?
Ein Zufalls-Passwortgenerator baut ein Passwort, indem er gleichmäßig zufällig Zeichen aus den erlaubten Zeichensätzen zieht. RandomHub nutzt die kryptografisch sichere Web Crypto API des Browsers (window.crypto.getRandomValues) und Rejection Sampling, um Modulo-Bias zu vermeiden — dieselbe Zufallsquelle, auf die führende Passwort-Manager setzen. Sie steuern Länge (4 bis 64 Zeichen), aktivierte Zeichensätze (Großbuchstaben, Kleinbuchstaben, Ziffern, Symbole) und ob visuell mehrdeutige Zeichen (l, 1, I, O, 0) ausgeschlossen werden. Die Erzeugung passiert vollständig im Browser; das Passwort wird nicht über das Netz gesendet und nicht protokolliert.
Für wen ist der Generator?
Datenschutzbewusste Nutzer
Sie verwalten Ihre Zugangsdaten selbst und wollen einen Generator, den man prüfen kann (offen, im Client), statt der „vertraut uns“-Blackbox eines Anbieters.
IT- und System-Admins
Service-Konten anlegen, SSH-Schlüssel-Passphrasen, Datenbank-Seeds, Einmal-Zugangsdaten für neue Kollegen. Die 64-Zeichen-Obergrenze deckt fast alles außer voller Schlüssel-Entropie ab.
Entwickler
Schnelle Wegwerf-Secrets für Dev-Umgebungen, Test-Fixtures, Mock-Auth-Flows, Sample-Daten — wenn `pwgen` oder `openssl rand` mehr Reibung sind als ein Browser-Tab.
Eltern
Konto für ein Kind anlegen, das noch nie ein starkes Passwort merken musste. Mit ausgeschlossenen Zweideutigkeiten lässt sich das Passwort vorlesen und ohne Tippfehler eingeben.
Self-Hoster
Sie ziehen ein Vaultwarden, Nextcloud, Postgres oder Admin-Panel selbst hoch und brauchen frische Zugangsdaten, bevor der Manager dranhängt. Generieren, einfügen, weiter.
Wenn der eingebaute Generator hakt
Manche Manager verstecken den Generator hinter Menüs oder Extensions, die ausgerechnet beim Signup nicht greifen. Ein vertrauenswürdiges Standalone-Tool nimmt diese Reibung an genau diesem Moment weg.
Warum dieser Generator
Kryptografische Zufallsquelle
Bytes kommen aus window.crypto.getRandomValues — der Web Crypto API, die auch 1Password, Bitwarden und moderne Browser nutzen. Kein Math.random irgendwo in der Pipeline.
Kein Modulo-Bias
Naives `random % poolSize` bevorzugt niedrigere Indizes, wenn die Pool-Größe die Zufallsquelle nicht gleichmäßig teilt. Wir nutzen Rejection Sampling gegen Uint32 — jedes Zeichen bleibt gleich wahrscheinlich.
Stärke in echten Bits
Entropie = Länge × log₂(Pool-Größe), die übliche Formel. Stufen: schwach <40 Bit, mäßig 40–63, stark 64–95, Festung 96+. Sie sehen sofort, ob die Konfiguration das Ziel erreicht.
Bleibt im Browser
Kein Netzwerk-Request beim Generieren. Wir loggen, speichern, übertragen oder analysieren nichts. DevTools öffnen, auf Generieren klicken — der Network-Tab bleibt leer.
Typische Szenarien mit Beispielen
Neuer Tresor-Eintrag für eine Bank
Anmeldung bei Bank- oder Behördendienst ohne Symbol-Unterstützung. Länge 20, Sätze Groß/Klein/Ziffern, Symbole aus, mehrdeutige Zeichen ausschließen — Passwort bleibt auf gedruckten Belegen lesbar.
Einstellung: Länge 20, Groß+Klein+Ziffern, Mehrdeutige aus. Beispiel: „Tyek5JWXcbgjLE2EH3vk“ — 20 × log₂(58) ≈ 117 Bit, klar im Festungs-Bereich, rein alphanumerisch wie verlangt.
SSH-Schlüssel-Passphrase
Der Private Key braucht eine Passphrase, die einmal am Tag aus dem Kopf eingetippt wird. Länge 24, alle Sätze, mehrdeutige drin — hohe Entropie, lesbar. Im Manager sichern und nicht mehr versuchen, sie zu merken.
Einstellung: Länge 24, alle Sätze, Mehrdeutige ausschließen aus. Beispiel: „K9$mZ#7vTq!4nL@8pR2&yX#W“ — 24 × log₂(76) ≈ 150 Bit. Robust über die Lebensdauer des Schlüssels hinaus.
Wegwerf-Test-Account
Sie brauchen ein Passwort für einen temporären Account in der Entwicklung. Länge 12, Klein + Ziffern reichen — der Account wird in einer Stunde gelöscht.
Einstellung: Länge 12, nur Klein+Ziffern. Beispiel: „k7vmqr3z9fnp“ — 12 × log₂(36) ≈ 62 Bit. Mäßig-Bereich, ausreichend für 60 Minuten.
Vorlesbares Passwort für ein gemeinsames Kiosk
Eine Person liest, eine andere tippt. Mehrdeutige Zeichen ausschließen (kein kleines l, kein großes I, keine 1, kein großes O, keine 0) — die häufigsten Tippfehler verschwinden.
Einstellung: Länge 16, Groß+Klein+Ziffern, Mehrdeutige aus. Beispiel: „RvkP4hgWmFu82tNz“ — 16 × log₂(58) ≈ 94 Bit. Sehr nah an Festung, im lauten Raum noch klar lesbar.
Anwendung
- 1.
Länge festlegen
4 bis 64 Zeichen. 16 ist ein starker Standard für die meisten Konten; 24+ für SSH-Passphrasen oder Self-Hosting-Root-Konten.
- 2.
Zeichensätze wählen
Großbuchstaben, Kleinbuchstaben, Ziffern, Symbole an- oder ausschalten. Jeder aktive Satz vergrößert den Pool und erhöht die Entropie pro Zeichen. Das Ergebnis enthält garantiert mindestens ein Zeichen aus jedem aktiven Satz.
- 3.
Mehrdeutige Zeichen entscheiden
Aus (Standard): l, 1, I, O, 0 bleiben drin — etwas mehr Entropie. An: ausgefiltert — leichter vorzulesen oder per Hand zu übernehmen.
- 4.
Generieren, dann kopieren
Generieren-Knopf oder Enter. Jedes Passwort hat einen eigenen Kopier-Button; „Alle kopieren“ greift bei Mehrfach-Generierung (1–10 auf einmal). Anzeigen / Verbergen schützt vor Schulterblicken in der Öffentlichkeit.
Häufige Fragen
Ist dieser Generator wirklich sicher?
Die Zufallswerte stammen aus window.crypto.getRandomValues — der Web Crypto API, derselben Quelle, die 1Password, Bitwarden und moderne Browser für ihre Generatoren nutzen. Rejection Sampling vermeidet Modulo-Bias. Erzeugung läuft komplett im Client: DevTools öffnen, Generieren klicken — kein Netzwerkverkehr.
Was ist „Modulo-Bias“ und warum ist es relevant?
Naiv erzeugt man eine 32-Bit-Zufallszahl und nimmt `n % poolSize`. Wenn die Pool-Größe 2³² nicht gleichmäßig teilt, werden manche Positionen leicht wahrscheinlicher als andere. Beim Passwort kostet das Entropie. Wir verwerfen Stichproben, die in den unausgewogenen Bereich fallen, und ziehen neu — alle Zeichen bleiben gleich wahrscheinlich.
Wie wird die Stärke in Bit berechnet?
Entropie = Länge × log₂(Pool-Größe). Ein 16-Zeichen-Passwort nur aus Klein+Ziffern hat 16 × log₂(36) ≈ 83 Bit. Dieselbe Länge mit allen vier Sätzen und ohne Mehrdeutigen-Filter: 16 × log₂(94) ≈ 105 Bit. Schwellen: schwach <40, mäßig 40–63, stark 64–95, Festung 96+.
Warum mehrdeutige Zeichen ausschließen?
l, 1, I, O, 0 sind in vielen Schriftarten kaum unterscheidbar. Filtern hilft, wenn das Passwort vorgelesen, abgeschrieben, am Telefon diktiert oder auf einem Kiosk-Display gezeigt wird. Kosten: leicht kleinerer Pool und damit etwas weniger Entropie pro Zeichen — meistens lohnender Tausch.
Werden Passwörter gespeichert oder gesendet?
Nein. Die Erzeugung passiert in JavaScript im Browser. Die Seite macht beim Klick auf Generieren keinen Request. Nichts wird geloggt, gespeichert, übertragen oder analysiert. Selbst auf Anfrage könnten wir kein Passwort wiederherstellen — es existiert nirgendwo.
Warum ist die Mindestlänge 4 statt 8?
Für die meisten Konten sollten Sie 12+ wählen. Die Vier ist da, weil es legitime „PIN-artige“ Fälle gibt (Türcode, App-PIN, Klassenspiel), in denen ein kurzer numerischer oder alphabetischer String genau gewollt ist. Die Stärkeanzeige warnt bei niedriger Entropie.
Welche Symbole sind aktiviert, wenn „Symbole“ an ist?
Der Satz ist `!@#$%^&*()-_=+[]{};:,.<>?/` — 26 Zeichen. Wir lassen Zeichen weg, die häufig Formularvalidierung brechen (Backslash, einfache und doppelte Anführungszeichen, Backtick, Leerzeichen), damit das Passwort auf möglichst vielen Anmeldeformularen funktioniert.
Kann ich Passphrasen wie „korrektes pferd batterie klammer“ erzeugen?
Aktuell nicht — RandomHub erzeugt zeichenbasierte Passwörter. Diceware-Passphrasen brauchen eine kuratierte Wortliste und sind ein eigenes Werkzeug. Falls eine Passphrasen-Seite den Aufwand wert ist, wäre das eine separate Seite.
Über starke Zufalls-Passwörter
Die Brute-Force-Resistenz eines Passworts wächst exponentiell mit seiner Entropie in Bit. Ein 12-Zeichen-Passwort aus den 94 druckbaren ASCII-Zeichen trägt etwa 79 Bit — bereits jenseits dessen, was ein Offline-Angreifer mit realistischem Hardware-Budget knackt, sofern der Hash sauber gestreckt ist. 16 Zeichen liefern ungefähr 105 Bit, 24 Zeichen rund 158 Bit — weit über dem praktischen Sicherheitsniveau von AES-128. Die Lehre aus dem letzten Jahrzehnt der Passwort-Forschung: Länge schlägt Klassen-Vielfalt. Einem 10-Zeichen-Passwort ein Symbol hinzuzufügen bringt weniger als dasselbe Passwort auf 14 Zeichen aus einem kleineren Satz zu strecken. Die Standardwerte von RandomHub — Länge 16, alle vier Sätze, kein Mehrdeutigen-Filter — liegen für die meisten Bedrohungsmodelle komfortabel im Festungs-Bereich. Das Werkzeug ist bewusst schmal: kryptografischer Zufall, konfigurierbare Länge und Sätze, ein ehrlicher Entropie-Indikator, sonst nichts. Wenn ein Feature den Workflow spürbar verbessert, ohne die Garantie „bleibt im Browser“ aufzugeben, schreiben Sie uns.
Verwandte Zufalls-Tools
Verwandte Zufalls-Tools
Nutzen Sie weitere Tools für Unterricht, Spiele, Planung, Schreiben und schnelle Entscheidungen.