Optionen
Jeder ausgewählte Satz kommt garantiert mindestens einmal vor. Einige Seiten lehnen bestimmte Symbole ab. Falls das passiert, erzeuge einfach neu ohne sie.
Die Wörter stammen aus einer kuratierten 1.024-Wörter-Liste, jedes Wort fügt also genau 10 Bit Entropie hinzu. Großschreibung ist vorhersehbar und fügt keine hinzu. Sie ist für Seiten da, die einen Großbuchstaben verlangen.
PINs sind nur dort sicher, wo Rateversuche begrenzt sind, etwa bei einem Sperrbildschirm oder einer Bankkarte, die nach wenigen Versuchen sperrt. Nutze eine PIN nie als Website-Passwort.
Zuletzt (nur diese Sitzung)
Passwörter, die du mit dem Neu-Button erzeugst oder kopierst, erscheinen hier, sodass ein Neuerzeugen nie das gewünschte verliert. Der Verlauf liegt nur im Arbeitsspeicher. Er wird nie gespeichert und verschwindet, wenn du diese Seite verlässt.
Du speicherst ein Passwort, statt eines zu erstellen? Der Hash-Generator macht daraus einen einseitigen Fingerabdruck, und der Zufallszahlen-Generator nutzt denselben sicheren Zufall für Zahlen.
Angetrieben vom eingebauten kryptografischen Zufallszahlengenerator (CSPRNG) deines Browsers mit unverzerrtem Rejection Sampling, nicht dem erratbaren Math.random(), das viele Tools nutzen.
Keine Netzwerkanfragen, keine Analyse, keine Speicherung. Erzeugte Passwörter existieren nur auf deinem Bildschirm und im Sitzungsspeicher, weg in dem Moment, in dem du gehst.
Keine Anmeldung, keine Limits, keine Werbung. Einmal geladen, funktioniert die Seite sogar offline.
Wie lange dauert es, ein Passwort zu knacken?
Es hängt fast ausschließlich von zwei Dingen ab: wie lang das Passwort ist und aus wie vielen verschiedenen Zeichensätzen es schöpft. Jedes zusätzliche Zeichen vervielfacht die Zahl der Möglichkeiten, weshalb ein 16-Zeichen-Passwort nicht doppelt so stark ist wie ein 8-Zeichen-Passwort. Es ist Billiarden Mal stärker. Hier die Zeit, um bei einer Billion Versuchen pro Sekunde jede Kombination durchzuprobieren, dem Tempo eines ernsthaften Offline-Angriffs:
| Länge | Nur Kleinbuchstaben | Buchstaben + Ziffern | Buchstaben, Ziffern + Symbole |
|---|---|---|---|
| 8 Zeichen | sofort | 4 Minuten | 2 Stunden |
| 10 Zeichen | 2 Minuten | 10 Tage | 2 Jahre |
| 12 Zeichen | etwa ein Tag | 100 Jahre | 15.000 Jahre |
| 14 Zeichen | 2 Jahre | 400.000 Jahre | 130 Millionen Jahre |
| 16 Zeichen | 1.400 Jahre | 1,5 Milliarden Jahre | 1 Billion Jahre |
| 20 Zeichen | 630 Millionen Jahre | 22 Billiarden Jahre | 90 Trillionen Jahre |
Echte Angreifer beginnen selten mit roher Gewalt: Sie probieren zuerst geleakte Passwörter, Wörterbuchwörter und vorhersehbare Muster wie Sommer2026!. Genau deshalb zählt erzeugter Zufall: Ein wirklich zufälliges Passwort steht auf keiner Liste, also bleibt nur die vollständige Suche als Angriff, und die Tabelle oben zeigt, wie aussichtslos das ist.
Passwort oder Passphrase: was solltest du nutzen?
Eine Passphrase ist eine Folge zufälliger Wörter, die berühmte correct horse battery staple-Idee aus dem xkcd-Comic. Wörter sind für Menschen dramatisch leichter zu merken und zu tippen als eine Folge von Symbolen, und wenn jedes Wort zufällig aus der 1.024-Wörter-Liste dieses Tools gewählt wird, trägt jedes Wort genau 10 Bit Entropie bei. Sechs Wörter ergeben 60 Bit, ungefähr so stark wie ein vollständig zufälliges 9-Zeichen-Passwort mit allen Zeichensätzen, dabei aber weit leichter zu merken.
Passphrasen glänzen am stärksten gegen realistische Angriffstempi. Seiten, die Passwörter richtig speichern, nutzen absichtlich langsame Hashes wie bcrypt, die Angreifer von einer Billion Versuchen pro Sekunde auf einige Hunderttausend senken:
| Wörter | Entropie | Schneller Hash | Langsamer Hash (bcrypt) |
|---|---|---|---|
| 4 Wörter | 40 Bit | etwa eine Sekunde | 2 Monate |
| 5 Wörter | 50 Bit | 19 Minuten | 180 Jahre |
| 6 Wörter | 60 Bit | 13 Tage | 180.000 Jahre |
| 7 Wörter | 70 Bit | 37 Jahre | 190 Millionen Jahre |
| 8 Wörter | 80 Bit | 38.000 Jahre | 190 Milliarden Jahre |
Eine sinnvolle Aufteilung: Nutze lange Zufallspasswörter aus einem Passwortmanager für die Hunderte Konten, die er für dich ausfüllt, und eine Passphrase aus 6–8 Wörtern für die wenigen Geheimnisse, die du wirklich tippen oder dir merken musst: das Master-Passwort deines Managers, deine Computer-Anmeldung, deine Festplattenverschlüsselung.
So erstellst du ein starkes Passwort (und hältst es stark)
- Ein Konto, ein Passwort. Wiederverwendung macht aus einem Forum-Leck ein Bank-Leck: Angreifer spielen geleakte Zugangsdaten überall durch, ein Angriff namens Credential Stuffing.
- Länge schlägt Cleverness. Die aktuellen NIST-Empfehlungen (SP 800-63B) bevorzugen lange Passwörter gegenüber Zusammensetzungsregeln und verzichten auf erzwungene regelmäßige Wechsel. Ändere ein Passwort, wenn es Hinweise auf eine Kompromittierung gibt, nicht nach dem Kalender.
- Nutze einen Passwortmanager. Er merkt sich Hunderte einzigartiger Zufallspasswörter, sodass du dir nur eine einzige gute Passphrase merken musst.
- Aktiviere Zwei-Faktor-Authentifizierung, oder besser noch Passkeys, damit ein gestohlenes Passwort allein nicht zum Einloggen reicht.
- Prüfe deine Betroffenheit. Sieh bei Have I Been Pwned nach, ob deine E-Mail in bekannten Lecks auftaucht, und ändere jedes betroffene Passwort.
- Halte Geheimnisse aus Klartext heraus. Speichere Passwörter nie in Notizdateien, E-Mail-Entwürfen oder Chatnachrichten.
Die 10 häufigsten Passwörter der Welt
Analysen geleakter Zugangsdatenlisten finden Jahr für Jahr dieselben Zeichenfolgen an der Spitze. Jede einzelne davon ist sofort geknackt:
| Rang | Passwort | Knackdauer |
|---|---|---|
| 1 | 123456 | sofort |
| 2 | 123456789 | sofort |
| 3 | 12345678 | sofort |
| 4 | password | sofort |
| 5 | qwerty123 | sofort |
| 6 | qwerty1 | sofort |
| 7 | 111111 | sofort |
| 8 | 12345 | sofort |
| 9 | secret | sofort |
| 10 | 123123 | sofort |
Häufig gestellte Fragen
Ist es sicher, einen Online-Passwort-Generator zu nutzen?
Das hängt vom Generator ab. Dieser ist von Grund auf sicher: Passwörter werden vom kryptografischen Zufallszahlengenerator deines eigenen Browsers erzeugt, die Seite stellt keine Netzwerkanfragen, und nichts, was du erzeugst, wird je übertragen, protokolliert oder gespeichert. Du kannst es selbst prüfen: Beobachte den Netzwerk-Tab in den Entwicklertools deines Browsers oder lade die Seite einmal und nutze sie mit ausgeschaltetem WLAN.
Wie lang sollte ein Passwort 2026 sein?
Nutze mindestens 16 zufällige Zeichen für alles Wichtige oder eine Passphrase aus sechs oder mehr Wörtern. Die aktuellen NIST-Empfehlungen setzen Länge vor Komplexitätsregeln, denn ein längeres einfaches Passwort schlägt ein kurzes verschachteltes. Jedes zusätzliche Zeichen vervielfacht die Arbeit eines Angreifers, deshalb ist Länge das günstigste Sicherheits-Upgrade überhaupt.
Welche Art von Passwort ist am stärksten?
Eine lange, vollständig zufällige Zeichenfolge mit allen vier Zeichensätzen ist pro Zeichen am stärksten: Ein zufälliges 20-Zeichen-Passwort hat etwa 131 Bit Entropie und ist mit heutiger Hardware praktisch nicht zu knacken. Für Passwörter, die du dir merken oder von Hand tippen musst, ist eine Passphrase aus sechs bis acht Wörtern der bessere Kompromiss: etwas weniger Bit, deutlich leichter zu merken und viel schneller auf dem Smartphone zu tippen.
Sind Passphrasen wirklich so sicher wie Zufallspasswörter?
Ja, wenn die Wörter zufällig gewählt und nicht ausgedacht sind. Jedes Wort aus der 1.024-Wörter-Liste dieses Tools fügt genau 10 Bit Entropie hinzu, sechs Wörter ergeben also 60 Bit und acht Wörter 80, vergleichbar mit einem vollständig zufälligen 12-Zeichen-Passwort. Die Sicherheit kommt aus der zufälligen Auswahl: Ein selbst ausgedachter Liedtext, ein Zitat oder ein Satz ist dramatisch schwächer, weil Angreifer genau die zuerst probieren.
Wie genau sind die Schätzungen zur Knackdauer?
Sie gehen vom schlimmsten Fall aus, einem Offline-Angriff: jemand, der den Hash deines Passworts gestohlen hat und eine Billion Rateversuche pro Sekunde durchführt, ungefähr das, was ein Rack moderner GPUs gegen einen schnellen Hash wie NTLM oder MD5 schafft. Die realen Bedingungen sind meist weit besser für dich: Websites drosseln Anmeldeversuche auf eine Handvoll pro Minute, und langsame Hashes wie bcrypt senken das Angriffstempo um das Millionenfache. Betrachte die Schätzung als vorsichtige Untergrenze, nicht als Garantie.
Speichert oder seht ihr jemals die Passwörter, die ich erzeuge?
Nein. Die Erzeugung passiert vollständig auf deinem Gerät, die Seite stellt keine Netzwerkanfragen, und es gibt keine Analyse oder Tracker. Es wird auch nichts auf die Festplatte geschrieben. Dieses Tool hat bewusst kein Autosave, und der Bereich mit den letzten Passwörtern lebt nur im Arbeitsspeicher und verschwindet in dem Moment, in dem du den Tab schließt oder neu lädst.
Warum ist es so gefährlich, ein Passwort wiederzuverwenden?
Weil Datenlecks Alltag sind. Wird irgendeine Seite, die du nutzt, gehackt, nehmen Kriminelle die geleakten E-Mail-Passwort-Paare und probieren sie automatisch bei Banken, E-Mail-Anbietern und Shops, ein Angriff namens Credential Stuffing, der bei einem beträchtlichen Anteil der Konten erfolgreich ist. Ein einzigartiges Zufallspasswort für jede Seite bedeutet, dass ein Leck ein Konto kompromittiert statt dein ganzes digitales Leben. Genau dieses Problem lösen Passwortmanager.
Funktioniert dieser Passwort-Generator offline?
Ja. Das gesamte Tool ist eine einzige eigenständige Seite ohne Server-Anfragen, und der Zufallszahlengenerator ist Teil deines Browsers selbst. Einmal geladen, funktioniert es also ohne Verbindung weiter. Du kannst es auf deinem Gerät speichern und überall Passwörter erzeugen.