Was bedeutet Entropie in Bit?

Entropie misst die Stärke eines Passworts mathematisch. Jedes Bit verdoppelt den Suchraum für einen Angreifer. 40 Bit sind schwach, 60-80 Bit sind stark, ab 100 Bit ist ein Passwort praktisch unknackbar — selbst mit modernster Hardware.

Warum ist ein lokaler Generator sicherer als ein Server-basierter?

Bei Server-basierten Generatoren muss das Passwort über das Internet übertragen werden — ein potenzielles Abfangrisiko. Lokale Generierung bedeutet: Das Passwort existiert nur in deinem Browser. Kein Netzwerkverkehr, kein Server-Log, kein Drittanbieter-Risiko.

Wie lange dauert es, ein starkes Passwort zu knacken?

Das hängt von der Entropie ab. Bei 80 Bit Entropie und 10 Milliarden Versuchen pro Sekunde (starker GPU-Cluster) würde ein Brute-Force-Angriff im Durchschnitt etwa 1,9 Milliarden Jahre dauern. Die Crack-Zeit-Schätzung im Generator nutzt dieses Modell.

Free Tool

Sicherer Passwort-Generator

Q: Ist dieser Passwort-Generator sicher?

Ja. Der Generator nutzt die Web Crypto API (crypto.getRandomValues) — denselben kryptografisch sicheren Zufallsgenerator, den auch Browser für TLS-Verschlüsselung verwenden. Zusätzlich wird Rejection Sampling eingesetzt, um statistische Verzerrungen (Modulo-Bias) zu eliminieren.

Q: Werden meine Passwörter gespeichert oder übertragen?

Nein. Alles läuft vollständig in deinem Browser. Kein Passwort wird jemals an einen Server gesendet, in einer Datenbank gespeichert oder in Analytics erfasst. Es gibt kein Tracking, keine Cookies und keinen Server-Kontakt.

Q: Was ist der Unterschied zwischen Passwort und Passphrase?

Ein Passwort ist eine zufällige Zeichenkette (z.B. 'k7#Pm9xQ'). Eine Passphrase besteht aus mehreren zufälligen Wörtern (z.B. 'horizont-klammer-nebel-bronze-garten'). Passphrases sind oft leichter zu merken und bieten bei 5+ Wörtern ähnliche oder höhere Entropie.

Kryptografisch sichere Passwörter und Passphrases — direkt in deinem Browser generiert. Kein Server-Kontakt, kein Tracking, keine Speicherung.

Generiere...

— — Bit

Anzahl:

Läuft vollständig in deinem Browser — kein Server-Kontakt, kein API-Call

Kryptografisch sicherer Zufall via Web Crypto API (crypto.getRandomValues)

Bias-freie Zeichenauswahl durch Rejection Sampling — mathematisch gleichverteilt

Keine Datenspeicherung, kein Tracking, keine Cookies, kein Analytics

Keyra — Passwort-Generator für iOS Sichere Passwörter generieren, direkt auf deinem iPhone — offline, ohne Browser.

Mehr erfahren

Enora — Secret Link für iOS Verschlüsselte Einmallinks direkt vom iPhone erstellen und teilen.

Mehr erfahren

So funktioniert der Generator

Dieser Generator nutzt die Web Crypto API deines Browsers — dieselbe Technologie, die auch für TLS-Verschlüsselung und digitale Signaturen eingesetzt wird. Die Funktion crypto.getRandomValues() liefert kryptografisch sichere Zufallszahlen, die von keinem Angreifer vorhergesagt werden können.

Um statistische Verzerrungen zu vermeiden, setzt der Generator Rejection Sampling ein: Zufallswerte, die außerhalb des größten exakten Vielfachen des Zeichenvorrats liegen, werden verworfen und neu generiert. So ist jedes Zeichen im Passwort exakt gleichwahrscheinlich — ohne den Modulo-Bias, der bei vielen Generatoren auftritt.

Wenn mehrere Zeichengruppen aktiv sind (z.B. Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen), garantiert der Algorithmus, dass mindestens ein Zeichen aus jeder Gruppe enthalten ist. Anschließend wird das gesamte Passwort mit einem kryptografisch sicheren Fisher-Yates-Shuffle gemischt.

Passwort vs. Passphrase

Ein Passwort ist eine zufällige Zeichenkette wie k7#Pm9xQ$2bR. Es ist kompakt und funktioniert überall, aber schwer zu merken.

Eine Passphrase besteht aus mehreren zufälligen Wörtern: horizont-klammer-nebel-bronze-garten. Bei 5 Wörtern aus einer 2048-Wort-Liste ergibt das 55 Bit Entropie — ähnlich stark wie ein 10-Zeichen-Zufallspasswort mit vollem Zeichensatz.

Der Vorteil: Passphrases sind deutlich leichter zu merken und einzutippen. Der Nachteil: Sie sind länger, was bei manchen Diensten mit Zeichenlimits problematisch sein kann.

Empfehlung

Für Passwort-Manager: Zufallspasswort, 20+ Zeichen, alle Zeichengruppen
Für das Master-Passwort: Passphrase, 5-6 Wörter — stark und merkbar
Für Geräte-PINs: PIN-Modus, mindestens 6 Ziffern
Für WLAN: WiFi-Modus — alphanumerisch, gut ablesbar, ohne verwirrende Zeichen

Warum lokal im Browser sicherer ist

Viele Passwort-Generatoren laufen auf einem Server: Dein Browser schickt eine Anfrage, der Server generiert das Passwort und schickt es zurück. Dabei existiert das Passwort auf einem fremden Server, im Netzwerkverkehr und potenziell in Server-Logs.

Bei diesem Generator passiert die gesamte Erzeugung lokal in deinem Browser. Das Passwort existiert nur im Arbeitsspeicher deines Geräts. Es gibt keinen Netzwerkverkehr, keinen API-Call, kein Server-Log. Selbst wenn du offline bist, funktioniert der Generator.

Was bedeutet Entropie?

Entropie misst die Unvorhersagbarkeit eines Passworts — in Bit. Jedes zusätzliche Bit verdoppelt den Suchraum, den ein Angreifer durchprobieren muss.

< 40 Bit — Schwach: In Minuten bis Stunden knackbar
40-59 Bit — Mittel: Widersteht einfachen Angriffen
60-79 Bit — Stark: Erfordert erhebliche Rechenleistung
80-99 Bit — Sehr stark: Jahrtausende selbst mit GPU-Clustern
100+ Bit — Exzellent: Praktisch unknackbar

Die angezeigte Crack-Zeit basiert auf der konservativen Annahme von 10 Milliarden Versuchen pro Sekunde — das entspricht einem leistungsstarken GPU-Cluster für Offline-Angriffe. Reale Angriffe sind oft langsamer.

Häufige Fragen

Ist dieser Passwort-Generator sicher?

Ja. Der Generator nutzt die Web Crypto API — denselben kryptografisch sicheren Zufallsgenerator, den Browser für TLS-Verschlüsselung verwenden. Zusätzlich eliminiert Rejection Sampling den Modulo-Bias, der bei vielen Generatoren auftritt. Jedes Zeichen ist mathematisch exakt gleichwahrscheinlich.

Werden meine Passwörter gespeichert?

Nein. Alles läuft vollständig in deinem Browser. Kein Passwort wird jemals an einen Server gesendet, in einer Datenbank gespeichert oder in Analytics erfasst. Es gibt kein Tracking, keine Cookies und keinen Server-Kontakt.

Was ist der Unterschied zwischen Passwort und Passphrase?

Ein Passwort ist eine zufällige Zeichenkette (z.B. „k7#Pm9xQ"). Eine Passphrase besteht aus mehreren zufälligen Wörtern (z.B. „horizont-klammer-nebel-bronze"). Passphrases sind leichter zu merken und bieten bei 5+ Wörtern vergleichbare oder höhere Sicherheit.

Was bedeutet die Entropie-Anzeige?

Entropie in Bit misst die mathematische Stärke des Passworts. Jedes Bit verdoppelt den Suchraum für einen Angreifer. 40 Bit sind schwach, 80 Bit sind sehr stark, ab 100 Bit ist das Passwort praktisch unknackbar.

Funktioniert der Generator offline?

Ja. Da die gesamte Logik in deinem Browser läuft und keine Server-Kommunikation stattfindet, funktioniert der Generator auch ohne Internetverbindung — sobald die Seite einmal geladen ist.

Wie vertrauenswürdig ist die Crack-Zeit-Schätzung?

Die Schätzung basiert auf dem konservativen Modell von 10 Milliarden Versuchen pro Sekunde — das entspricht einem leistungsstarken GPU-Cluster. Reale Angriffe sind oft langsamer. Die Anzeige ist eine Näherung, keine Garantie. Sie hilft, die relative Stärke verschiedener Passwörter einzuordnen.