Sicherheit
Starke, unvergessliche Passwörter: wie man einen Generator richtig verwendet
Die Passwortregeln, die Ihre Bank Ihnen 2008 gab, sind falsch. Die klebrige Note unter Ihrer Tastatur ist ein bekannter Witz. Der Rat, Passwörter alle 90 Tage zu ändern, wurde von der NIST vor Jahren still zurückgezogen, weil es Sicherheit machte !Nicht besser. Und doch hier sind wir, immer noch tippen Summer2024! in Login-Boxen über das Internet.
Dieser Beitrag ist die kürzeste ehrliche Erklärung, was ein gutes Passwort tatsächlich ist, warum Ihre Instinkte über "Komplexität" sind meist falsch, und wie man einen Passwortgenerator verwenden, ohne Ihr Leben unerträglich zu machen.
Der Mythos: Komplexität ist, was zählt
Eine Generation von Sicherheitstraining lehrte Menschen, dass ein starkes Passwort den oberen Fall, den unteren Fall, die Zahlen und Symbole mischt. P@ssw0rd! Zecken all diese Boxen. Es ist auch berühmt, eines der ersten Dinge, die jedes Cracker Wörterbuch versucht. Die Komplexitätsregeln erwiesen sich als die falsche Maßeinheit.
Was eigentlich zählt ist Entropie — die Gesamtzahl der Möglichkeiten, die ein Angreifer durchsuchen muss. Sie können Entropie erhöhen, indem Sie Zeichentypen hinzufügen, ja, aber Sie erhöhen es viel schneller durch Hinzufügen Länge. Jeder zusätzliche Charakter verdoppelt den Suchraum.
Der Vergleich, der ihn anklickt
Der kurze hat ~46 Bits Entropie. Die lange hat ~44 Bits, wenn der Angreifer weiß, dass Sie gemeinsame englische Wörter verwendet haben — aber es ist trivial unvergesslich, und es mit fünf oder sechs Wörtern stößt Sie vorbei an 60 Bits, gut über alles, was ein Anmelde-Stuffing-Angriff kann handhaben.
Die berühmte xkcd Comic, die diese – "richtige Pferde-Batterieklammer" – populär gemacht hat, ist wirklich richtig. Vier zufällige gemeinsame Wörter sind stärker, unvergesslicher und schneller zu tippen als die meisten "komplexen" Passwörter.
Was macht eigentlich ein Passwort stark in 2026
Moderne Beratung von NIST, NCSC (das National Cyber Security Centre des Vereinigten Königreichs), und jedes ernsthafte Sicherheitsteam konvergiert über drei Regeln:
- Länge über Komplexität. 14+ Zeichen ist das komfortable Minimum. 20+ ist besser. Symbole helfen, aber egal, wie die Menschen denken.
- Einzigartig pro Seite. Das einzige größte Risiko ist nicht schwache Passwörter, es ist wiederverwendet Passworte. Wenn eine Website verletzt wird, versuchen Angreifer diese Anmeldeinformationen überall sonst. Einzigartige Passwörter brechen diese Kette.
- Generiert, nicht erfunden. Human-gewählte Passwörter Cluster um vorhersehbare Muster. Ein Generator nimmt den vollen Entropieraum ab.
Beachten Sie, was aus dieser Liste fehlt: Zwangsdrehung. Wenn Ihr Passwort stark und einzigartig ist, ändern Sie es alle 90 Tage nur trainiert Sie, schwächere auszuwählen, die Sie erinnern können. Drehen Sie sich nur, wenn Sie Kompromiss vermuten.
Zwei Aromen von generiertem Passwort
Symbol-Mix (für alles, was Sie nicht manuell eingeben)
Für Logins, die Sie über einen Passwort-Manager zugreifen - die meisten von ihnen sein sollte - verwenden Sie völlig zufällige Symbol-Passwörter. Sie sind unlesbar, unmerkbar und das ist gut, weil Sie sie nie tippen. Der Computer kopiert und Pasten.
22 Zeichen Mixed Case, Ziffern und Symbole. Brute Force unmöglich, Wörterbuch-Angriff unmöglich. In Ihrem Manager gespeichert, autofilled auf der Website, nie von Ihren Augen gesehen. A gute Passwort-Generator diese mit crypto.getRandomValues — die kryptographisch sichere zufällige Quelle des Browsers — so ist die Ausgabe sicher für den realen Gebrauch, nicht nur ein Spielzeug.
Passphrase (für Dinge, die Sie eingeben)
Eine Handvoll Passwörter, die Sie wirklich einprägen müssen: Ihr Master-Passwort für den Passwort-Manager, Ihr Laptop-Login, Ihr E-Mail-Recovery-Code. Diese müssen unvergesslich sein und stark. Passphrasen gewinnen.
Fünf zufällige gemeinsame Wörter, insgesamt 35 Zeichen, Stärke etwa äquivalent zu einem 14-Zeichen-Symbol-Mix. Bemerkenswert wegen der milden visuellen Bilder — trellis-sparrow ist ein Bild, das Sie sehen können. Trivial zu Typ im Vergleich zu Symbol-Suppe.
Um eins zu bauen, brauchen Sie eigentlich kein spezielles Werkzeug. Sie können zufällige Wörter mit jeder beliebigen Wortquelle erzeugen oder sie durch Schuppen wählen — a Liste Shuffler mit einer Wortliste eingeprägt gibt Ihnen zeichnen-five-random-words Funktionalität. Paare unverwandte Wörter und du bist fertig.
Wie tatsächlich einen Generator Tag zu Tag verwenden
Der Workflow ist langweilig, was der Punkt ist:
- Installieren Sie einen Passwort-Manager. Jede der großen: 1Password, Bitwarden, Apple Keychain, Google Password Manager. Denk nicht darüber nach.
- Set ein stark Passphras als Ihr Master-Passwort. Memorieren Sie es.
- Jedes Mal, wenn Sie sich für eine neue Website anmelden, erzeugen Sie eine frische Symbol-Mix Passwort und speichern Sie es im Manager. Geben Sie es nie ein; autofill tun die Arbeit.
- Melden Sie sich in den nächsten Monaten in Ihre häufig genutzten Seiten ein, ändern Sie alte wiederverwendete Passwörter zu einem Zeitpunkt zu neuen generierten, speichern Sie jeden im Manager.
- Umsatz Zweifaktor-Authentifizierung wo immer es angeboten wird. Dies zählt mehr als Passwörter für die Konten, die tatsächlich wichtig sind (E-Mail, Bank, alles mit Zahlungsdetails).
Häufig gestellte Fragen
"Ist es sicher, Passwörter in einem Browser-Tool zu generieren?"
Ja, vorausgesetzt, das Tool erzeugt Client-Seite mit dem Browser crypto.getRandomValues API und nichts wird an einen Server gesendet. Unsere Passwort-Generator tut genau das — die Seite ist statisches HTML, die Generation geschieht in Ihrem Browser, das Passwort nie verlässt Ihr Gerät. Öffnen Sie Ihre Browser-Dev-Tools und überprüfen Sie, ob Sie uns nicht vertrauen; das ist der ganze Punkt der Client-Seite-Tools.
"Was ist mit den Seiten, die Symbole verlangen, aber auch bestimmte verbieten?"
Die frustrierende Realität von 2026 ist, dass viele Banken und Vermächtnissysteme immer noch seltsame Regeln durchsetzen – "muss Symbol enthalten, aber nicht &", "max Länge 12", "muss mit einem Buchstaben beginnen". Ein guter Generator ermöglicht es Ihnen, das Symbol gesetzt, um die genaue Länge einzuschließen und einzustellen. Passen Sie die Regeln der Website und bewegen Sie weiter. Diese Einschränkungen machen Ihre Bank weniger Sicher, aber es gibt nichts, was Sie tun können über diesen einen Benutzer zu einer Zeit.
"Sollte ich noch regelmäßig Passwörter ändern?"
Nur wenn eine Website verletzt wird (aktiven Verletzungswarnungen - die meisten Manager haben sie) oder wenn Sie vermuten, dass ein bestimmtes Konto beeinträchtigt wird. Die routinemäßige Rotation wurde vor Jahren von ernsthaften Sicherheitsberatungen zurückgezogen.
"Was, wenn ich mein Master-Passwort vergesse?"
Schreiben Sie es nach unten und setzen Sie es in einen physischen Safe, oder teilen Sie es mit einer vertrauenswürdigen Person in einem versiegelten Umschlag. Ja, wirklich. Das Bedrohungsmodell für ein Passwort, das in einem Safe in Ihrem Haus geschrieben steht, ist "Einbrecher, der genau weiß, was man sucht" – verschwindend selten im Vergleich zu "Sie vergessen Ihr Master-Passwort und verlieren alles."
Jetzt ein Passwort generieren
→ Passwort-Generator — sicher, clientseitig, anpassbar
→ Liste Shuffler — erstellen Sie eine Passphrase aus einer Wortliste
→ Random Name Generator — schnelle Quelle von unvergesslichen Wörtern
Die One-Sentence-Version
Verwenden Sie einen Passwort-Manager, erzeugen Sie ein langes einzigartiges Passwort für jede Website, merken Sie eine starke Passphrase als Ihr Master, schalten Sie zwei-Faktor für alles Wichtige, und stoppen Sie rotierende Passwörter, es sei denn etwas schief ging. Das ist alles.
Alles andere ist Lärm.