Warum Passwörter lokal erzeugen?
Ein serverseitiger Generator hat Ihr Passwort per Definition gesehen. Dieser nutzt den kryptografischen Zufallsgenerator Ihres Browsers, denselben wie Banking-Seiten: die Seite funktioniert sogar offline.
Was ein Passwort in der Praxis sicher macht
- Länge schlägt Cleverness. Ein zufälliges 20-Zeichen-Passwort ist astronomisch stärker als ein "cleveres" 10-Zeichen-Passwort. Jedes zusätzliche Zeichen vervielfacht den Aufwand für einen Angreifer.
- Zufall schlägt Merkbarkeit. Menschen sind schlechte Zufallsgeneratoren - Muster, Daten und Substitutionen (p@ssw0rd) sind das Erste, was Cracking-Tools ausprobieren.
- Einzigartigkeit schlägt alles. Der häufigste Angriffsweg ist ein wiederverwendetes Passwort. Einen Passwort-Manager verwenden und pro Website ein anderes zufälliges Passwort.
Was die Entropiezahl bedeutet
Entropie (in Bits) misst, wie viele Versuche ein Angreifer benötigt: jedes zusätzliche Bit verdoppelt den Aufwand. Als Faustregel gilt: 80+ Bits ist stark für Online-Konten und 100+ Bits ist mit aktueller Hardware praktisch unknackbar.
FAQ
Passwort-Generator: Werden meine Daten an einen Server gesendet?
- Nein. Bei der Generierung sind keine Netzwerkanfragen beteiligt - Sie können dies überprüfen, indem Sie den Netzwerk-Tab der Entwicklertools Ihres Browsers beobachten.
Wird Math.random() verwendet?
- Nein - das ist nicht kryptografisch sicher. Dieses Tool verwendet
crypto.getRandomValuesmit Rejection Sampling, um statistische Verzerrungen zu vermeiden. Soll ich ähnlich aussehende Zeichen ausschließen?
- Wenn Sie das Passwort jemals manuell lesen oder eingeben werden, ja. Wenn es in einem Passwort-Manager lebt, können Sie sie für einen etwas größeren Zeichenvorrat einbeziehen.