Erzeuge mit einem Klick starke Passwörter direkt in deinem Browser. Standardmäßig 32 Zeichen, kryptografisch sicherer Zufall (CSPRNG), kein Server-Roundtrip, keine Speicherung, kein Tracking.
Nutzt crypto.getRandomValues mit Rejection Sampling, damit jedes erlaubte Zeichen exakt die gleiche Wahrscheinlichkeit hat.
Kopiert
Stärke: ...
...
Länge
Empfohlen: 20+ Zeichen für sensible Konten
Großbuchstaben (A bis Z)
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Kleinbuchstaben (a bis z)
a b c d e f g h i j k l m n o p q r s t u v w x y z
Ziffern (0 bis 9)
Jede Ziffer, auch 0, mit exakt gleicher Wahrscheinlichkeit (Rejection Sampling, keine Modulo-Verzerrung).
Hilfreich, wenn das Passwort sowohl auf QWERTZ-, als auch QWERTY-Tastaturen eingegeben wird.
Mehrdeutige Zeichen ausschließen
Entfernt z. B. l 1 I O 0, nützlich beim Abtippen.
Einstellungen sind nicht gespeichert
Wie zufällig ist „zufällig"? Dieser Generator nutzt die Web-Crypto-API deines Browsers (CSPRNG) und ein Rejection-Sampling-Verfahren, das die typische Modulo-Verzerrung vermeidet. Dadurch hat jedes erlaubte Zeichen, egal ob A, z, 5 oder 0, exakt die gleiche Auftretenswahrscheinlichkeit. Es findet keinerlei Netzwerkkommunikation statt.
Was diesen Passwort-Generator von anderen unterscheidet
Viele Online-Generatoren erzeugen Passwörter serverseitig (das Passwort verlässt deinen Rechner) oder verwenden Math.random(), das nicht kryptografisch sicher ist. Beides ist für echte Sicherheit ungeeignet.
Echter Zufall:crypto.getRandomValues liefert kryptografisch zuverlässige Zahlen, ergänzt durch Rejection Sampling gegen Modulo-Bias.
Komplett offline: kein fetch, kein Drittanbieter-Script, kein CDN, keine Cookies, kein LocalStorage.
Single-File: nur HTML, CSS und JavaScript. Du kannst die Seite speichern und ohne Internet nutzen.
Transparent: Quellcode ist sichtbar und lesbar (Rechtsklick, „Seitenquelltext anzeigen").
Keine Speicherung: nach dem Schließen des Tabs ist das Passwort weg, kein Verlauf, keine Spuren.
So wählst du ein wirklich sicheres Passwort
Die wichtigste Regel zuerst: Länge schlägt Komplexität. Ein langes Passwort ist mathematisch sicherer als ein kurzes mit vielen Sonderzeichen.
Mindestens 16 Zeichen für normale Konten, 24 bis 32 Zeichen für E-Mail, Banking, Master-Passwörter und Server-Zugänge.
Pro Dienst ein eigenes Passwort. Wird ein Anbieter gehackt, bleiben deine anderen Konten sicher.
Passwort-Manager benutzen (z. B. KeePassXC, Bitwarden, 1Password). Du musst dir nur ein einziges starkes Master-Passwort merken.
Zwei-Faktor-Authentifizierung aktivieren, wo immer möglich.
Niemals das gleiche Passwort wiederverwenden und niemals nach Schema F bauen (z. B. Sommer2024!), das knacken Wörterbuch-Angriffe in Sekunden.
Wie lange braucht ein Angreifer zum Knacken?
Bei einem Offline-Angriff (Hacker hat einen geleakten Passwort-Hash und probiert lokal alle Kombinationen) können moderne GPU-Rigs etwa 1 Billion Versuche pro Sekunde durchprobieren (für schwache Hash-Verfahren wie MD5 oder SHA-1). Bei guten Verfahren wie bcrypt oder Argon2 ist es deutlich weniger, aber wir rechnen hier konservativ.
Länge
Zeichensatz
Möglichkeiten
Knackzeit (1 Bio./s)
8
nur Kleinbuchstaben
2 · 1011
0,2 Sekunden
8
Buchstaben + Ziffern
2 · 1014
3 Minuten
12
Buchstaben + Ziffern
3 · 1021
100 Jahre
16
Buchstaben + Ziffern
5 · 1028
1,5 Mrd. Jahre
20
Buchstaben + Ziffern
7 · 1035
10²² Jahre
32
Buchstaben + Ziffern (Standard)
2 · 1057
praktisch unbegrenzt
Werte gerundet, basierend auf 62 möglichen Zeichen (a bis z, A bis Z, 0 bis 9) und 10¹² Versuchen pro Sekunde.
Häufig gestellte Fragen
Ist dieser Passwort-Generator wirklich sicher?
Ja. Wir verwenden ausschließlich die Web-Crypto-API (crypto.getRandomValues), den vom Browser bereitgestellten kryptografisch sicheren Zufallszahlengenerator (CSPRNG). Zusätzlich kommt Rejection Sampling zum Einsatz, das die typische Modulo-Verzerrung anderer Implementierungen vermeidet, sodass jedes erlaubte Zeichen exakt die gleiche Auftretenswahrscheinlichkeit hat.
Werden meine Passwörter gespeichert oder übertragen?
Nein. Die gesamte Generierung läuft lokal in deinem Browser. Es gibt keine Netzwerkanfragen, keine Cookies, keinen LocalStorage und keine Logs.
Wie lang sollte ein sicheres Passwort sein?
Für normale Online-Konten reichen 16 Zeichen mit gemischten Zeichensätzen. Für kritische Zugänge wie E-Mail, Banking oder Master-Passwörter empfehlen wir 24 bis 32 Zeichen. Der Standard dieses Generators sind 32 Zeichen, das ergibt mehr als 190 Bit Entropie und ist auch gegen zukünftige Angriffe robust.
Brauche ich unbedingt Sonderzeichen?
Nicht zwingend. Länge schlägt Komplexität: ein 24-Zeichen-Passwort aus Buchstaben und Ziffern ist deutlich sicherer als ein 8-Zeichen-Passwort mit Sonderzeichen. Sonderzeichen sind nützlich, wenn der Dienst sie verlangt oder die Länge begrenzt ist.
Was bedeutet die Option „Y und Z einbeziehen"?
Auf deutschen QWERTZ-Tastaturen sind y und z gegenüber englischen QWERTY-Tastaturen vertauscht. Wer Passwörter manchmal auf englischen Tastaturen eingibt, kann diese Buchstaben optional ausschließen, um Tippfehler zu vermeiden.
Was sind „mehrdeutige Zeichen"?
Zeichen wie l, 1, I, O und 0 sehen je nach Schriftart sehr ähnlich aus. Wer ein Passwort von einem Zettel oder Bildschirm abtippt, profitiert davon, diese Zeichen auszuschließen.
Funktioniert der Passwort-Generator offline?
Ja. Nach dem ersten Laden kannst du die Seite ohne Internetverbindung nutzen. Du kannst die Seite über „Speichern unter" lokal sichern und auch dann nutzen.
Welche Browser werden unterstützt?
Alle modernen Browser (Chrome, Firefox, Edge, Safari, Brave, Opera) ab etwa 2017. Voraussetzung ist Unterstützung für die Web-Crypto-API.
Alle Produkte von KernelHost
Brauchst du mehr als nur Tools? Schau dir unser kommerzielles Hosting-Angebot an.