Passwort-Generator: starke Zufallspasswörter sofort erstellen

Generiere Passwörter, die wirklich schwer zu knacken sind. Wähle Länge und Zeichentypen, erhalte ein kryptografisch zufälliges Ergebnis mit einem Klick. Alles passiert in deinem Browser, wir sehen deine Passwörter nie.

Passwort-Einstellungen

Konfigurieren Sie Ihre Passwortanforderungen

Passwortlänge: 16

864

Großbuchstaben (A-Z)

Kleinbuchstaben (a-z)

Zahlen (0-9)

Symbole (!@#$%^&*)

tools.passwordGenerator.generatedPassword

tools.passwordGenerator.securePassword

tools.passwordGenerator.password

tools.passwordGenerator.strength

tools.passwordGenerator.tip tools.passwordGenerator.tipText

Wie Passwortsicherheit funktioniert

Passwortstärke kommt auf eine Sache an: Entropie, die Anzahl möglicher Kombinationen, die ein Angreifer durchprobieren muss. Ein 12-Zeichen-Passwort nur mit Kleinbuchstaben hat etwa 56 Bit Entropie (26^12 Kombinationen). Großbuchstaben, Zahlen und Symbole hinzufügen, und dieselben 12 Zeichen springen auf ~79 Bit (95^12). Das ist der Unterschied zwischen „in Stunden knackbar" und „in Jahrhunderten knackbar".

Die Mathematik ist einfach: Entropie = Länge × log2(Zeichenpool-Größe). Ein 16-Zeichen-Passwort mit dem vollen 95-Zeichen-ASCII-Set gibt dir ~105 Bit Entropie. Zum Vergleich: Bitcoin-Private-Keys verwenden 256 Bit. Dein Netflix-Passwort muss nicht so stark sein, aber dein Master-Passwort sollte mindestens 80+ Bit haben.

NIST SP 800-63B (die digitalen Identitätsrichtlinien der US-Regierung, zuletzt aktualisiert 2024) hat den alten Rat „alle 90 Tage ändern" gestrichen. Aktuelle Empfehlung: Passwörter lang machen (Minimum 8, bevorzugt 15+), keine willkürlichen Komplexitätsregeln erzwingen, und gegen bekannte geleakte Passwortlisten prüfen. Länge schlägt Komplexität immer.

Anleitung

Länge einstellen. 16 Zeichen ist ein guter Standard für die meisten Konten.
Zeichentypen ein-/ausschalten. Alle vier anlassen, es sei denn eine Seite hat seltsame Einschränkungen.
Generieren klicken. Das Passwort wird mit crypto.getRandomValues() erstellt, nicht Math.random().
Kopieren und im Passwort-Manager speichern. Versuch nicht, Zufallspasswörter auswendig zu lernen.

Wann du das brauchst

Neues Konto einrichten

Ein einzigartiges 16-20-Zeichen-Passwort generieren, ins Registrierungsformular einfügen, im Passwort-Manager speichern. Dauert 10 Sekunden und du musst nie wieder daran denken.

API-Keys und Tokens erstellen

Brauchst du einen zufälligen String für ein API-Secret, Webhook-Signaturschlüssel oder JWT-Secret? Einen 32-64-Zeichen-String mit allen Zeichentypen generieren. Technisch kein „Passwort", aber die Generierungsmethode ist dieselbe.

WiFi-Passwort für Gäste

Ein 10-12-Zeichen-Passwort ohne mehrdeutige Zeichen (kein 0/O, 1/l/I) generieren, damit Leute es von einer gedruckten Karte am Router tatsächlich eintippen können.

Geleaktes Passwort ersetzen

„Dein Passwort wurde in einem Datenleck gefunden"-Benachrichtigung bekommen? Sofort ein neues generieren. Nicht einfach eine „2" ans Ende des alten hängen.

Was wirklich zählt für Passwortsicherheit

Länge > Komplexität, immer

„Tr0ub4dor&3" (11 Zeichen, sieht komplex aus) hat nur ~28 Bit Entropie, weil es auf einem Wörterbuchwort mit vorhersagbaren Substitutionen basiert. Ein zufälliger 16-Zeichen-String mit allen Typen? ~105 Bit. Verwechsle nicht „schwer zu merken" mit „schwer zu knacken."

Verwende einen Passwort-Manager, ernsthaft

Wenn du Zufallspasswörter generierst (und das solltest du), kannst du sie nicht auswendig lernen. Verwende 1Password, Bitwarden oder KeePass. Dein Master-Passwort ist das EINE, das du dir merkst. Mach es zu einer langen Passphrase (5+ zufällige Wörter).

Niemals Passwörter zwischen Seiten wiederverwenden

Als LinkedIn gehackt wurde (passiert, 117 Millionen Passwörter geleakt 2012), probieren Angreifer diese Zugangsdaten auf jeder anderen Seite. Wenn dein LinkedIn-Passwort auch dein Gmail-Passwort war, hast du gerade deine E-Mail verloren. Einzigartige Passwörter pro Seite ist nicht verhandelbar.

2FA bei allem Wichtigen aktivieren

Selbst ein perfektes Passwort kann gephisht werden. Zwei-Faktor-Authentifizierung (TOTP-Apps wie Authy oder Hardware-Keys wie YubiKey) bedeutet, dass ein gestohlenes Passwort allein nicht reicht. Mindestens bei E-Mail, Banking und Cloud-Konten aktivieren.

Beispiel-Ausgaben

Standard starkes Passwort (16 Zeichen, alle Typen)

Gut für die meisten Online-Konten. ~105 Bit Entropie.

Input

Länge: 16, Großbuchstaben: ✓, Kleinbuchstaben: ✓, Zahlen: ✓, Symbole: ✓

Output

k7#Qm9$vLx2&pN4w

WiFi-freundliches Passwort (12 Zeichen, ohne Mehrdeutige)

Leicht von einer gedruckten Karte abzulesen und einzutippen. Schließt 0/O/l/1/I aus.

Input

Länge: 12, Großbuchstaben: ✓, Kleinbuchstaben: ✓, Zahlen: ✓, Symbole: ✗, Mehrdeutige ausschließen: ✓

Output

Kx7mR4nP9wBt

Funktionen

Verwendet crypto.getRandomValues(), nicht Math.random() (das ist vorhersagbar)
Einstellbare Länge von 8 bis 64 Zeichen
Großbuchstaben, Kleinbuchstaben, Zahlen, Symbole unabhängig umschaltbar
Stärkemesser zeigt tatsächliche Entropie in Bit
Ein-Klick-Kopie, Passwort berührt nicht deinen Zwischenablage-Verlauf
Funktioniert offline nach Seitenladung, null Netzwerkanfragen

Häufige Fragen

Wie lang sollte mein Passwort 2026 sein?

Mindestens 16 Zeichen für wichtige Konten (E-Mail, Banking). 12 ist akzeptabel für Konten mit geringem Wert. Wenn eine Seite dich auf 8 Zeichen beschränkt (einige Banken tun das noch), ist das ein Warnsignal über deren Sicherheitspraktiken, aber nutz das Maximum mit allen Zeichentypen.

Ist eine Passphrase besser als ein Zufallspasswort?

Für dein Master-Passwort (das einzige, das du dir merkst), ja. Passphrasen im Stil von „correct horse battery staple" sind leichter zu merken und können mit 5+ wirklich zufälligen Wörtern sehr stark sein. Für alles andere lass deinen Passwort-Manager zufällige Strings generieren und speichern.

Warum sagt der Stärkemesser „schwach" für mein 8-Zeichen-Passwort?

Ein 8-Zeichen-Passwort mit allen Zeichentypen hat ~52 Bit Entropie. Moderne GPUs können Milliarden Hashes pro Sekunde testen. Bei dieser Geschwindigkeit können 52 Bit in Stunden bis Tagen per Brute-Force geknackt werden (abhängig vom Hashing-Algorithmus). 80+ Bit ist wo du sein willst.

Sollte ich noch alle 90 Tage Passwörter ändern?

Nein. NIST hat diese Empfehlung vor Jahren gestrichen. Erzwungene Rotation führt zu schwächeren Passwörtern (Leute erhöhen nur eine Zahl am Ende). Ändere Passwörter nur wenn: (1) du einen Leak vermutest, (2) ein Dienst dich über eine Kompromittierung informiert, (3) du es mit jemandem geteilt hast, der keinen Zugang mehr braucht.

Kann dieses Tool Passwörter generieren, die bestimmte Seitenanforderungen erfüllen?

Ja, schalte die Zeichentypen entsprechend den Regeln der Seite um. Wenn „mindestens ein Großbuchstabe, eine Zahl, ein Symbol" verlangt wird, alle Typen anlassen und mit 12+ Zeichen generieren. Erfüllt normalerweise beim ersten Versuch die Anforderungen.

Tipps und verwandte Workflows

Passwörter für sichere Speicherung hashen? Dafür den Hash-Generator.
Eindeutige Sitzungstoken zusammen mit Passwörtern erzeugt der UUID-Generator.
Passwörter für sichere URL-Übertragung kodieren geht mit dem Base64-Encoder.
WLAN-Passwort per QR-Code teilen? Ab in den QR-Code-Generator.