Erzeugen Sie mit einem Klick ein starkes, zufälliges Passwort. Stellen Sie Länge und Zeichenklassen passend zur Richtlinie der Zielseite ein. Die Zufallsquelle ist die Web Crypto API des Browsers — Ihr Passwort verlässt nie Ihren Rechner.
Menschen sind schlecht darin, Zufall zu erzeugen. Ein selbst gewähltes Passwort führt fast immer zu etwas Vorhersehbarem — einem Namen, einem Datum, einem Tastaturmuster. Ein Generator zieht echte Entropie aus der sicheren Zufallsquelle des Betriebssystems, was das Ergebnis für einen Angreifer außer durch erschöpfende Suche unmöglich zu erraten macht.
Länge ist wichtiger als Komplexität. Ein 20-stelliges Passwort nur aus Kleinbuchstaben (~94 Bit) ist schwerer zu knacken als ein 8-stelliges Passwort mit allen vier Klassen (~52 Bit). Streben Sie mindestens 80 Bit Entropie für allgemeine Konten und 120+ Bit für alles an, was Ihre anderen Passwörter schützt (Master-Passwort, Wiederherstellungsschlüssel).
Nein. Die Erzeugung verwendet crypto.getRandomValues() in Ihrem Browser. Das Passwort wird nur im Speicher gehalten und nie übertragen. Tab schließen löscht es.
Es ist ein Maß für die Unvorhersagbarkeit eines Passworts. Jedes Bit verdoppelt den Suchraum für einen Angreifer. 80 Bit Entropie bedeutet, dass ein Angreifer in der Größenordnung von 2^80 (~1,2 Billiarden Milliarden) Passwörter ausprobieren müsste — mit aktueller Hardware nicht machbar.
Zeichen wie der Buchstabe „I“ und die Ziffer „1“ oder der Buchstabe „O“ und die Ziffer „0“ sehen in vielen Schriftarten identisch aus. Sie auszuschließen erleichtert das Lesen und manuelle Eingeben, falls nötig. Der Kompromiss ist eine kleine Reduzierung der Entropie.
Für Anmeldedaten, die Sie selbst tippen müssen (Laptop-Login, Master-Passwort für einen Tresor), erreicht eine 5-7 Wörter lange Passphrase aus einer großen Wortliste ~70-90 Bit Entropie und ist viel einfacher zu merken als eine zufällige Zeichenkette gleicher Stärke. Für alles andere — Site-Logins, API-Schlüssel — lassen Sie Ihren Passwort-Manager ein zufälliges Passwort mit 16+ Zeichen erzeugen und speichern, das Sie nie tippen.
Die moderne Empfehlung (NIST SP 800-63B) lautet: nur bei Verdacht auf Kompromittierung wechseln, nicht nach festem Zeitplan. Erzwungene regelmäßige Rotation drängt Menschen zu vorhersehbaren Varianten (Frühling2026!, Sommer2026!), die schwächer sind als das Original. Stattdessen: ein einzigartiges starkes Passwort pro Site wählen, im Manager speichern und nur ändern, wenn die Site einen Vorfall meldet oder Sie verdächtige Aktivitäten bemerken.
Wann Sie wirklich ein neues starkes Passwort brauchen.
Erzeugen Sie ein zufälliges Passwort mit 16 Zeichen, fügen Sie es einmal in das Anmeldeformular ein und speichern Sie es im Passwort-Manager. Sie tippen es nie wieder.
Wenn ein von Ihnen genutzter Dienst auf haveibeenpwned auftaucht, erzeugen Sie hier ein neues Passwort und aktualisieren Sie sowohl die Site als auch Ihren Manager — niemals ein geleaktes wiederverwenden.
Brauchen Sie einen JWT-Secret, einen API-Key oder einen Session-Cookie-Schlüssel für ein Nebenprojekt? Erzeugen Sie eine 32-Zeichen-Mischfolge und fügen Sie sie in Ihr .env ein.
Brauchen Sie einen merkbaren, aber starken Entsperrcode? Wechseln Sie zu Nur-Ziffern, wählen 6-8 Zeichen und vermeiden offensichtliche Sequenzen (1234, Geburtsjahr).
Gewohnheiten, die ein erzeugtes Passwort tatsächlich schützend machen.
Ein 20-Zeichen-Zufallspasswort ist nutzlos, wenn es auf einem Klebezettel steht. 1Password, Bitwarden oder der eingebaute Tresor des Browsers — wählen Sie einen und nutzen ihn für jede Site.
20 Kleinbuchstaben haben mehr Entropie als 12 gemischte Groß-Klein-Sonderzeichen. Wenn eine Site Ihr Passwort wegen zu großer Länge ablehnt, ist das ein Warnsignal, wie sie es speichert.
1/I und 0/O auszuschließen opfert etwas Entropie. Tun Sie es nur, wenn Sie das Passwort wirklich vom Bildschirm ablesen müssen — bei Paste-Only-Flows behalten Sie sie.
Ein einzigartiges erzeugtes Passwort schützt vor Credential Stuffing. Ein TOTP oder Passkey obendrauf schützt zusätzlich vor Phishing und Passwort-Leaks. Aktivieren Sie 2FA überall, wo angeboten.