Kennt der Angreifer meine Wortliste nicht?

**Passphrase-Sicherheit GEHT DAVON AUS, dass der Angreifer die Wortliste kennt** (**Kerckhoffs'sches Prinzip**: Sicherheit darf nicht vom Geheimhalten des Algorithmus abhängen). Die 45 Bit berücksichtigen das bereits. **Die EFF/Diceware-Liste ist öffentlich** und Passphrasen sind trotzdem unknackbar.

Englische Wörter, ok für deutsche Nutzer?

**Ja**. Die Wortliste selbst ist egal, entscheidend ist, dass die Wörter zufällig gewählt werden. Englische Wörter sind sprachübergreifend **kurz und leicht zu merken**. Entropie = **Wortzahl × log2(Wörterbuchgröße)**, sprachunabhängig.

Erreicht die Passphrase den Server?

**Nein**. Der ganze Algorithmus läuft lokal, das Wörterbuch ist in die Seite eingebettet, die Zufallsquelle ist die **Web Crypto API**. **DevTools → Netzwerk** = keine Requests beim Generieren.

Wie schlägt sich eine Passphrase gegen Wörterbuchangriffe?

**Wörterbuchangriffe** probieren bekannte Passwörter ("password", "Sommer2024"). Deine Passphrase **"able-tank-wide-yarn-zone"** ist eine zufällig erzeugte Kombination, **die in keiner Passwortliste steht**. Bleibt nur Brute-Force, und bei 50+ Bit = **nicht machbar**.

Kann ich mir eine Passphrase einfach selbst ausdenken?

**Besser nicht**. Menschliche Entscheidungen sind **vorhersehbar** ("susse-katze-sonne" ist deutlich häufiger als "able-cellular-disk"). Angreifer kennen die Muster und probieren sie zuerst. **Kryptografische Zufälligkeit** garantiert eine gleichverteilte Auswahl = 50 Bit Entropie. **Handverlesen** sind es meist 25-30 Bit, also **schwach**.

Was, wenn der Dienst keine Leerzeichen erlaubt?

**Die meisten akzeptieren** jedes ASCII-Zeichen. Ältere Formulare lehnen manchmal Leerzeichen ab, **nimm Bindestrich oder Unterstrich**. Manche verlangen **bestimmte Sonderzeichen**, aktiviere dann "Ziffer und Symbol anhängen".

Wie viele Wörter soll ich nehmen?

Die Wortzahl hängt vom Stellenwert des Kontos ab: - **5 Wörter**: Basis für normale Konten (45 Bit) - **6 Wörter**: Standard für Banking, Haupt-E-Mail (54 Bit) - **7-8 Wörter**: Masterpasswort des Passwort-Managers (60-70 Bit) - **10 Wörter**: für kritische Systeme (root, Krypto-Schlüssel) **Ab 7 Wörtern** ist der praktische Unterschied klein, es ist ohnehin unknackbar.

Passphrase-Generator - kostenlos

Generierte Passphrase48 Bit Entropie

Wortanzahl5

Trennzeichen

Großschreibung

Alles läuft lokal. Deine Passphrase verlässt den Browser nie.

Sind wortbasierte Passwörter sicher und wie erstelle ich eines?

Passphrase-Generator: statt zufälliger Zeichen wie "Kx9$gF#pR2vZ" bekommst du "able-tank-wide-yarn-zone-2", leichter zu merken und kryptografisch genauso stark.

Der Diceware/EFF-Algorithmus: 5-7 Wörter aus einer rund 500-Wort-Liste = 50-70 Bit Entropie, durch Brute-Force praktisch nicht zu knacken.

Perfekt für Master-Keys von Passwort-Managern, Laptop-Login, telefonisches Diktieren. Die gesamte Generierung passiert in deinem Browser.

So nutzt du das Tool

Anzahl Wörter wählen. 5-6 Wörter ist der Standard (50-60 Bit). 7+ für maximale Sicherheit.

Wähle ein Trennzeichen: Bindestrich (-), Unterstrich (_), Punkt (.) oder Leerzeichen. Akzeptiert ein Dienst keine Leerzeichen, nimm den Bindestrich.

Optional: Großbuchstaben (Erstbuchstabe jedes Wortes oder alle), manche Seiten verlangen es.

Hänge eine Ziffer und/oder ein Sonderzeichen ans Ende. Die meisten Unternehmensrichtlinien verlangen das.

Klicke Kopieren und füge das Ergebnis direkt in einen Passwort-Manager ein (1Password, Bitwarden, KeePassXC).

Wann das hilfreich ist

Fünf typische Situationen, in denen eine Passphrase einen zufälligen Zeichenstring schlägt:

Masterpasswort des Passwort-Managers. Du merkst dir nur eines, eine Passphrase ist also ideal (lang, aber lesbar).
Laptop- oder Desktop-Login. Tippst du täglich, viel angenehmer als zufällige Zeichen.
Passwort für verschlüsselte Festplatten (LUKS, BitLocker, FileVault). Wird bei jedem Bootvorgang eingegeben.
System-Admin-Passwort (root, sudo). Selten genutzt, muss aber sitzen.
PGP-/GPG-Schlüsselpassphrase. Wertvolle Schlüssel, Passwort gehört ins Gedächtnis.

Für alltägliche Konten im Passwort-Manager nimm den zufälligen Passwort-Generator, du merkst es dir ohnehin nicht, also spielt Lesbarkeit keine Rolle.

Fragen und Antworten

Ja. 5 Wörter aus einer 500-Wort-Liste = 5 × log2(500) ≈ 45 Bit Entropie. Knackzeit auf einem GPU-Cluster (10^11 Versuche/s) ≈ 50 Jahre. 6 Wörter = 54 Bit ≈ 10.000 Jahre. Praktisch unknackbar.

Sind wortbasierte Passwörter sicher und wie erstelle ich eines?

Passphrase-Generator: statt zufälliger Zeichen wie "Kx9$gF#pR2vZ" bekommst du "able-tank-wide-yarn-zone-2", leichter zu merken und kryptografisch genauso stark.

Der Diceware/EFF-Algorithmus: 5-7 Wörter aus einer rund 500-Wort-Liste = 50-70 Bit Entropie, durch Brute-Force praktisch nicht zu knacken.

Perfekt für Master-Keys von Passwort-Managern, Laptop-Login, telefonisches Diktieren. Die gesamte Generierung passiert in deinem Browser.

So nutzt du das Tool

Anzahl Wörter wählen. 5-6 Wörter ist der Standard (50-60 Bit). 7+ für maximale Sicherheit.

Wähle ein Trennzeichen: Bindestrich (-), Unterstrich (_), Punkt (.) oder Leerzeichen. Akzeptiert ein Dienst keine Leerzeichen, nimm den Bindestrich.

Optional: Großbuchstaben (Erstbuchstabe jedes Wortes oder alle), manche Seiten verlangen es.

Hänge eine Ziffer und/oder ein Sonderzeichen ans Ende. Die meisten Unternehmensrichtlinien verlangen das.

Klicke Kopieren und füge das Ergebnis direkt in einen Passwort-Manager ein (1Password, Bitwarden, KeePassXC).

Wann das hilfreich ist

Fünf typische Situationen, in denen eine Passphrase einen zufälligen Zeichenstring schlägt:

Masterpasswort des Passwort-Managers. Du merkst dir nur eines, eine Passphrase ist also ideal (lang, aber lesbar).
Laptop- oder Desktop-Login. Tippst du täglich, viel angenehmer als zufällige Zeichen.
Passwort für verschlüsselte Festplatten (LUKS, BitLocker, FileVault). Wird bei jedem Bootvorgang eingegeben.
System-Admin-Passwort (root, sudo). Selten genutzt, muss aber sitzen.
PGP-/GPG-Schlüsselpassphrase. Wertvolle Schlüssel, Passwort gehört ins Gedächtnis.

Für alltägliche Konten im Passwort-Manager nimm den zufälligen Passwort-Generator, du merkst es dir ohnehin nicht, also spielt Lesbarkeit keine Rolle.

Fragen und Antworten

Passphrase-Generator

Sind wortbasierte Passwörter sicher und wie erstelle ich eines?

So nutzt du das Tool

Wann das hilfreich ist

Fragen und Antworten

Passende Tools

Passwort-Generator

Passwort-Leak-Check

Passwort-Hashes: MD5, SHA, bcrypt

Passphrase-Generator

Sind wortbasierte Passwörter sicher und wie erstelle ich eines?

So nutzt du das Tool

Wann das hilfreich ist

Fragen und Antworten

Passende Tools

Passwort-Generator

Passwort-Leak-Check

Passwort-Hashes: MD5, SHA, bcrypt