Question 1

Wie lang sollte ein generiertes Passwort sein?

Accepted Answer

NIST SP 800-63B empfiehlt ein Minimum von 8 Zeichen für benutzergewählte Passwörter, definiert aber keine Obergrenze. Für maschinell generierte Passwörter, die in einem Passwortmanager gespeichert werden, bieten 16 bis 20 Zeichen mit dem vollständigen Zeichensatz (Großbuchstaben, Kleinbuchstaben, Ziffern, Symbole) etwa 100 bis 130 Bit Entropie, was außerhalb der praktischen Reichweite jedes Brute-Force-Angriffs liegt. Es gibt keinen Nachteil bei längeren Passwörtern, wenn das System sie zulässt. Einige Legacy-Systeme begrenzen Passwörter auf 16 oder 20 Zeichen, aber 16 Zeichen ist ein sicherer Standardwert für breite Kompatibilität. Wenn ein System nur 8 Zeichen akzeptiert, ist die Sicherheitslage dieses Systems der limitierende Faktor, nicht die Länge deines Passworts.

Question 2

Sind Zufallspasswörter besser als Passphrasen?

Accepted Answer

Es hängt von der Entropie und der Verwendung der Anmeldeinformationen ab. Ein zufälliges 20-Zeichen-Passwort aus dem vollständigen ASCII Zeichensatz hat etwa 130 Bit Entropie. Eine Passphrase aus 4 zufälligen Wörtern aus der Diceware-Liste (7776 Wörter) hat etwa 51 Bit Entropie pro Wort, also ergeben 4 Wörter etwa 204 Bit, 5 Wörter etwa 255 Bit. Passphrasen sind einfacher zu tippen und zu merken, daher besser für Master-Passwörter, die du dir merken musst. Zufällige Zeichenpasswörter sind besser für Konten, die in einem Passwortmanager gespeichert sind, wo du sie nie eingibst. Verwende niemals Passphrasen aus häufigen, verwandten oder vorhersehbaren Wörtern. Die Zufallsquelle ist genauso wichtig wie die Länge.

Question 3

Wie erzeugt die Web Crypto API Zufälligkeit?

Accepted Answer

Die Methode crypto.getRandomValues() der Web Crypto API bezieht Werte vom kryptografisch sicheren Pseudozufallszahlengenerator (CSPRNG) des Betriebssystems. Unter Linux verwendet sie getrandom() oder /dev/urandom. Unter macOS und iOS verwendet sie die SecRandomCopyBytes API, unterstützt von einem hardwarebasierten Zufallszahlengenerator. Unter Windows verwendet sie CryptGenRandom. Alle nutzen Hardware-Entropiequellen, einschließlich CPU-Timing-Variation, thermisches Rauschen und dedizierte TRNG Schaltungen in moderner Hardware. Math.random() ist explizit nicht für kryptografische Zwecke geeignet: Browser implementieren es mit Algorithmen wie xorshift128+, die schnell und statistisch gleichmäßig, aber vorhersagbar sind, wenn der Seed oder Zustand bekannt ist. Verwende immer crypto.getRandomValues() für die Generierung mit Sicherheitsanforderungen.

Question 4

Sollte ich einen Passwortmanager anstelle der Passwortgenerierung hier verwenden?

Accepted Answer

Ja, für Passwörter, die du tatsächlich verwenden wirst. Ein Passwortgenerator erstellt das Passwort, aber es sicher zu speichern ist ein separates Problem. Es aufzuschreiben, in einer Textdatei zu speichern oder sich zu merken hat Fehlermodi. Ein Passwortmanager (Bitwarden, 1Password, KeePassXC) übernimmt Generierung und Speicherung zusammen, füllt Anmeldeinformationen automatisch aus, ohne die Zwischenablage zu exponieren, und synchronisiert zwischen Geräten. Verwende einen browserbasierten Generator für einmalige Situationen: Zurücksetzen eines Passworts auf einem Gerät, auf dem dein Manager nicht verfügbar ist, Erstellen einer temporären Anmeldeinformation für eine andere Person oder Erstellen eines Passworts für ein System, das nicht von deinem Manager abgedeckt wird. Für jedes Konto, das du regelmäßig verwendest, generiere und speichere das Passwort in deinem Manager.

Zeichensatz	Verfügbare Zeichen	Entropie pro Zeichen
Nur Kleinbuchstaben	26	4,7 Bit
Kleinbuchstaben + Ziffern	36	5,2 Bit
Groß + Klein + Ziffern	62	5,9 Bit
Vollständig druckbares ASCII	95	6,6 Bit

Starker Passwort Generator: Sichere Zufallspasswörter

Verwandte Werkzeuge

Was Ein Passwort Stark Macht

NIST SP 800-63B Über Passwörter