Sichere Passwörter oder leicht merkbare Passphrasen — kryptografisch zufällig im Browser.
Ein starkes Passwort widersteht sowohl Brute-Force-Angriffen als auch Wörterbuch-Attacken. Vier zentrale Prinzipien:
Eine Passphrase aus 4–6 zufälligen Wörtern (Diceware-Methode) bietet vergleichbare Sicherheit wie ein zufälliges Zeichen-Passwort, ist aber deutlich einfacher zu merken und einzugeben. Für Master-Passwörter (Passwort-Manager, Disk-Encryption) sind Passphrasen oft die bessere Wahl.
Ja. Die Zufallszahlen werden via `crypto.getRandomValues()` direkt vom Browser bezogen — eine kryptografisch sichere Quelle. Es gibt keinen Server-Roundtrip, keinen Log, kein Tracking. Du kannst die Implementierung jederzeit in den Browser-Entwicklertools überprüfen.
Die Entropie eines Passworts misst, wie unvorhersagbar es ist — gemessen in Bits. Ein Passwort mit 60 Bits Entropie bedeutet, dass ein Angreifer im Schnitt 2^59 (etwa 576 Billiarden) Versuche braucht, um es zu erraten. Entscheidend ist nicht die Länge allein, sondern wie groß der Zeichenraum ist, aus dem jedes Zeichen gleichverteilt gezogen wird. Dieser Generator nutzt crypto.getRandomValues() — eine kryptografisch sichere Quelle, die der Browser aus dem Betriebssystem-Pool (z.B. /dev/urandom unter Linux) speist.
Ein Passwort wie Hund2024! wirkt mit 9 Zeichen und 4 Zeichenklassen scheinbar stark, ist aber in Wahrheit eine Wörterbuch-Variation und in Sekunden geknackt. NIST SP 800-63B (USA) hat sich deshalb 2017 von erzwungenen Komplexitätsregeln verabschiedet und empfiehlt stattdessen lange, frei wählbare Passwörter (mindestens 8 Zeichen, ideal 15+) sowie den Abgleich mit Listen kompromittierter Passwörter (z.B. haveibeenpwned.com).
Faustregel: Diceware-Passphrasen mit 6 Wörtern aus einer 7776-Wort-Liste liefern circa 77 Bits Entropie — genug, um auch dedizierte Hardware (z.B. eine RTX 4090 mit ~200 GH/s gegen ungesalzene SHA-1) für mehr als 10^14 Jahre zu beschäftigen. Für Master-Passwörter eines Passwort-Managers sind 6 oder 7 Wörter der Goldstandard. Für Wegwerf-Accounts (mit Passwort-Manager-Speicherung) reichen 16 zufällige Zeichen aus einem 94-Zeichen-Alphabet (~105 Bits).
Für ein zufälliges Passwort der Länge L aus einem Alphabet mit N Zeichen berechnet sich die Entropie H in Bits durch:
H = L * log2(N)
Beispiele:
- 8 Zeichen, nur Kleinbuchstaben (N=26): 8 * 4.70 = 37.6 Bits
- 12 Zeichen, Buchst.+Ziffern (N=62): 12 * 5.95 = 71.5 Bits
- 16 Zeichen, Vollalphabet (N=94): 16 * 6.55 = 104.9 Bits
- 4 Diceware-Wörter (N=7776): 4 * 12.92 = 51.7 Bits
- 6 Diceware-Wörter (N=7776): 6 * 12.92 = 77.5 Bits
Angenommen, ein Angreifer hat den gesalzenen bcrypt-Hash (cost=12, etwa 250 ms pro Versuch auf einer modernen GPU). Damit landet er bei rund 10.000 Versuchen pro Sekunde pro GPU. Was bedeutet das in der Praxis?
password-artig): 26^8 = 2.1 * 10^11 Möglichkeiten. Erschöpfender Durchlauf: ~240 Tage auf einer GPU, wenige Stunden auf einem 100-GPU-Cluster. Nicht ausreichend.K3p9XaT2qLm8): 62^12 = 3.2 * 10^21 Möglichkeiten. Erschöpfender Durchlauf: ca. 10^10 Jahre auf einer GPU. Auch ein 10.000-GPU-Cluster braucht über eine Million Jahre. Praktisch sicher.r5$Lm!9pQ#xK7zF2): 94^16 ≈ 3.7 * 10^31. Selbst mit gesamter Bitcoin-Mining-Hashrate (≈ 6 * 10^20 H/s, Stand 2025) gegen einen ungesalzenen Hash: ~2 * 10^3 Jahre. Gegen bcrypt astronomisch. Mehr als ausreichend.correct-horse-battery-staple, der berühmte XKCD-936-Klassiker): 7776^4 = 3.7 * 10^15 Möglichkeiten. Gegen bcrypt: ~10^4 Jahre. Solide für die meisten Konten, zu wenig für hochsensible Master-Passwörter.anker-mond-quelle-spiegel-kupfer-tau): 7776^6 = 2.2 * 10^23 Möglichkeiten. Empfohlene Größe für KeePass-, 1Password- oder Bitwarden-Master-Passwörter. Auch bei rein theoretischen 10^15 Versuchen pro Sekunde reichen 7 Milliarden Jahre nicht. Goldstandard.Selbst das stärkste Passwort hilft nicht gegen Phishing, Keylogger, Reuse über Sites hinweg oder serverseitige Klartext-Speicherung. Die Maßnahmen mit der höchsten Wirkung pro investiertem Aufwand: (1) einen Passwort-Manager nutzen, damit jedes Konto ein eigenes 16+ Zeichen Passwort hat; (2) FIDO2/WebAuthn-Hardware-Keys (z.B. YubiKey) statt SMS-2FA; (3) für das Master-Passwort eine 6-Wort-Passphrase mit Großbuchstaben und einem Sonderzeichen verwenden. Beachte auch: ein zufälliges 8-Zeichen-Passwort ist gegen ungesalzene MD5- oder SHA-1-Hashes (Altsysteme) trotzdem geknackt — die Stärke des Speicherverfahrens (bcrypt, scrypt, Argon2id) ist Teil der Sicherheitsrechnung. Siehe OWASP Password Storage Cheat Sheet.
Math.random() sicher genug für Passwörter?Math.random() ist ein deterministischer Pseudozufalls-Generator (in V8/Chromium ein xorshift128+) und nicht für Sicherheit ausgelegt — der interne Zustand ist nur 128 Bit und vorhersagbar. Dieser Generator nutzt ausschließlich crypto.getRandomValues(), das vom Browser an die kryptografische OS-Quelle (CSPRNG) angebunden ist.haveibeenpwned.com mit über 13 Milliarden geleakten Credentials, Stand 2026), darf Dienst B nicht mit demselben Passwort offen liegen. Genau dafür existieren Passwort-Manager: Du musst dir nur das Master-Passwort merken, alle anderen werden zufällig generiert und auto-eingetragen.0 vs. O, 1 vs. l vs. I. Nützlich, wenn das Passwort von einem Ausdruck oder Display abgetippt wird (Server-Wartung, Drucker-Setup). Der Trade-off: leicht reduzierte Entropie pro Zeichen — bei 16 Zeichen sind es etwa 0.3 Bits weniger, vernachlässigbar.