Invoice24 Logo

Passwort-Generator

Starke, zufällige Passwörter sofort generieren — kostenlos, ohne Anmeldung.

Klicken Sie auf „Generieren", um Ihr Passwort zu erstellen.
Passwortlänge16
8128
Anzahl der Passwörter
1
Nur clientseitig
Keine Anmeldung erforderlich
Keine Daten gespeichert oder übertragen

Was macht ein starkes Passwort aus?

Ein starkes Passwort ist lang, wirklich zufällig und wird ausschließlich für ein einziges Konto verwendet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Passwörter mit mindestens 12 Zeichen für normale Konten und 20 oder mehr Zeichen für besonders schützenswerte Zugänge wie E-Mail, Online-Banking oder Behördenportale.

In Deutschland gilt die DSGVO (Datenschutz-Grundverordnung) als verbindliches Rahmenwerk für den Schutz personenbezogener Daten. Organisationen sind verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten zu implementieren — unzureichende Passwortrichtlinien wurden von Datenschutzbehörden bereits als Verstoß gegen diesen Grundsatz gewertet. Der Bundesdatenschutzbeauftragte (BfDI) und die Landesbehörden sind befugt, Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes zu verhängen.

Dieser Generator erstellt Passwörter mit crypto.getRandomValues() — der kryptografisch sicheren Zufallszahlen-API des Browsers. Ihr Passwort wird vollständig in Ihrem Browser erzeugt und niemals übertragen.

Wie der Passwort-Generator funktioniert

Wählen Sie Ihre Zeichentypen, stellen Sie die gewünschte Länge ein und klicken Sie auf „Passwort generieren". Das Tool baut einen Zeichenpool aus Ihren Einstellungen auf und wählt jede Position unabhängig mit crypto.getRandomValues() und Verwerfungsabtastung, um statistischen Bias zu vermeiden. Das Ergebnis ist ein Passwort mit maximaler Entropie für den gewählten Zeichensatz.

Vollständig clientseitig. Es werden keine Daten an unsere Server übertragen. Kein Passwort wird protokolliert, gespeichert oder in Telemetrie-Paketen versendet. Sie können dies selbst überprüfen, indem Sie die Entwicklertools Ihres Browsers (F12) öffnen und die Registerkarte „Netzwerk" beobachten: Bei einem Klick auf „Generieren" werden keinerlei ausgehende Anfragen ausgelöst.

Passwort-Entropie verständlich erklärt

Entropie misst die Unvorhersehbarkeit Ihres Passworts in Bits. Die Formel lautet: Entropie = log₂(Poolgröße) × Länge. Ein 16-Zeichen-Passwort aus allen 95 druckbaren ASCII-Zeichen hat etwa 105 Bits Entropie.

Zur Veranschaulichung: Bei einer Milliarde Versuchen pro Sekunde — der Geschwindigkeit einer modernen GPU bei einfachen Hash-Algorithmen — würde das Erschöpfen eines 72-Bit-Schlüsselraums im Durchschnitt 2,4 Milliarden Jahre dauern. Das BSI empfiehlt, Passwörter nach Entropie zu bewerten statt nach starren Komplexitätsregeln. Unser Stärkemesser zeigt Ihnen die tatsächliche Bit-Zahl, damit Sie eine informierte Entscheidung treffen können — nicht nur eine vage Ampelfarbe.

Passwort-Best-Practices für deutsche Nutzer

  • Einzigartiges Passwort für jeden Dienst. Ein kompromittiertes Passwort bei einem Anbieter darf keinen Dominoeffekt auf andere Konten haben. Das BSI nennt Passwort-Wiederverwendung explizit als eine der häufigsten Ursachen für Kontoübernahmen.
  • Zwei-Faktor-Authentifizierung (2FA) aktivieren. Die meisten deutschen Banken, ELSTER (Online-Finanzamt), und große Dienste wie Amazon.de, PayPal und Ebay bieten 2FA an. Mit 2FA bleibt ein gestohlenes Passwort für Angreifer wertlos.
  • Passwort-Manager verwenden. Das BSI empfiehlt den Einsatz von Passwort-Managern ausdrücklich. KeePass (deutsches Open-Source-Projekt), Bitwarden und 1Password sind etablierte Optionen.
  • Have I Been Pwned prüfen. Das kostenlose Tool haveibeenpwned.com prüft, ob Ihre E-Mail-Adresse in bekannten Datenlecks aufgetaucht ist. Es wird vom BSI und internationalen Sicherheitsbehörden als vertrauenswürdig eingestuft.
  • Vorsicht vor Phishing nach dem DSGVO-Recht auf Auskunft. Angreifer missbrauchen in Deutschland zunehmend formelle Auskunftsanfragen, um Mitarbeiter zur Preisgabe von Zugangsdaten zu veranlassen. Echte Behörden fragen niemals per E-Mail nach Passwörtern.

Passwortsicherheit in Deutschland: Rechtlicher Rahmen

Die DSGVO verpflichtet Unternehmen, personenbezogene Daten durch „geeignete technische und organisatorische Maßnahmen" zu schützen (Art. 32 DSGVO). Unzureichende Passwortrichtlinien und fehlende Zugangskontrolle wurden von deutschen Datenschutzbehörden bereits als DSGVO-Verstoß eingestuft. Die Aufsichtsbehörden der Länder — darunter das LfDI Baden-Württemberg, das BayLDA und die Berliner Beauftragte — verhängen aktiv Bußgelder.

Das BSI veröffentlicht regelmäßig aktualisierte Richtlinien für Passwortsicherheit im Technischen Leitfaden BSI TR-02102. Die wichtigsten Empfehlungen: Mindestlänge von 8 Zeichen für einfache Systeme, 12 für normale und 20 für hochsensible Zugänge; kein erzwungener regelmäßiger Passwortwechsel ohne konkreten Anlass; Verwendung von Passwort-Managern; Aktivierung von Mehr-Faktor-Authentifizierung.

Deutsche Nutzer zeigen historisch eine besonders ausgeprägte Datenschutzsensibilität — ein kulturelles Erbe, das durch die Erfahrungen der DDR-Überwachung und die frühe DSGVO-Debatte geprägt wurde. Dieser Kontext macht ein „clientseitig, keine Datenübertragung"-Versprechen in Deutschland besonders glaubwürdig und relevant.

FAQ

Was empfiehlt das BSI für sichere Passwörter?
Das BSI empfiehlt Passwörter mit mindestens 12 Zeichen unter Verwendung aller vier Zeichenklassen (Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen) für normale Konten und 20 oder mehr Zeichen für hochsensible Zugänge. Außerdem rät das BSI zur Verwendung von Passwort-Managern und zur Aktivierung von Zwei-Faktor-Authentifizierung.
Ist dieser Generator DSGVO-konform?
Der Generator verarbeitet keinerlei personenbezogene Daten. Es wird kein Konto erstellt, keine E-Mail-Adresse erhoben, kein Passwort übertragen oder gespeichert. Ein Tool, das nichts verarbeitet, kann keine Datenschutzverletzung begehen — Compliance ist hier architektonisch, nicht nur eine Absichtserklärung.
Wie sicher ist crypto.getRandomValues()?
crypto.getRandomValues() ist die kryptografisch sichere Zufallszahlen-API des Browsers und wird vom W3C standardisiert. Sie greift auf die betriebssystemseitige Entropiequelle zurück (z. B. /dev/urandom auf Linux/macOS, CryptGenRandom auf Windows) und ist für sicherheitskritische Anwendungen geeignet — im Gegensatz zu Math.random(), das deterministisch und für Sicherheitszwecke ungeeignet ist.
Was bedeutet "Bits Entropie" auf dem Stärkemesser?
Bits Entropie messen, wie viele zufällige Bit-Entscheidungen nötig wären, um Ihr Passwort zu erraten. Jedes zusätzliche Bit verdoppelt den Suchraum. Bei 72 Bits würde ein Angriff mit einer Milliarde Versuchen pro Sekunde im Durchschnitt 2,4 Milliarden Jahre dauern. Bei 105 Bits übersteigt der Aufwand die gesamte verfügbare Rechenleistung der Erde für jede absehbare Zukunft.
Warum sollte ich keine persönlichen Informationen im Passwort verwenden?
Persönliche Informationen wie Geburtsdaten, Namen von Haustieren oder Lieblingsvereine sind über soziale Netzwerke oft leicht recherchierbar. Angreifer verwenden sogenannte "intelligente Wörterbücher", die persönliche Daten ihrer Zielperson kombinieren. Ein kryptografisch zufälliges Passwort enthält keine solchen Muster und ist daher ungleich schwerer zu erraten.
Kann ich mehrere Passwörter gleichzeitig generieren?
Ja — bis zu 50 auf einmal. Stellen Sie die Anzahl mit dem Zähler ein und klicken Sie auf "Passwort generieren". Die Schaltfläche "Alle kopieren" kopiert alle generierten Passwörter als zeilengetrennte Liste in die Zwischenablage — praktisch für IT-Administratoren, Entwickler oder für die Durchführung eines persönlichen Passwort-Audits.