Passwortsicherheit im Browser: Generieren, Verschlüsseln, Hashen und Testen – kein Server erforderlich
Ein praktischer Leitfaden zu browserbasierten Passwort- und Verschlüsselungstools – starke Passwörter generieren, Text mit AES-256 verschlüsseln, Passwörter mit PBKDF2 hashen und die Passwortstärke sofort prüfen.
Jeder Entwickler und sicherheitsbewusste Nutzer braucht früher oder später dieselben Werkzeuge: ein starkes Passwort generieren, sensiblen Text verschlüsseln, ein Passwort für die Speicherung hashen oder prüfen, ob ein Hash übereinstimmt. Früher erforderte das die Installation von OpenSSL oder einer speziellen App. Heute ist die Web Crypto API leistungsfähig genug, um all das im Browser zu erledigen – ohne einen einzigen Server-Roundtrip und ohne dass Daten Ihr Gerät verlassen.
Hier ist ein Überblick über die wichtigsten Tools und wie man sie effektiv einsetzt.
1. Passwort-Generator: Passwörter richtig erstellen
Menschen sind schlecht darin, wirklich zufällige Passwörter zu erstellen. Wir verwenden unbewusst Muster – Wörter aus dem Wörterbuch, Namen, Jahreszahlen, Tastaturmuster wie qwerty123. Ein echter Zufallspasswort-Generator vermeidet all das.
Unser Passwort-Generator nutzt crypto.getRandomValues() – den kryptografisch sicheren Zufallszahlengenerator, der in jedem modernen Browser eingebaut ist. Was ihn von Math.random() unterscheidet:
Math.random()liefert eine pseudozufällige Folge – vorhersehbar, wenn man den Startwert kenntcrypto.getRandomValues()nutzt Entropie auf Betriebssystemebene – wirklich unvorhersehbar
Empfohlene Einstellungen:
| Anwendungsfall | Länge | Optionen |
|---|---|---|
| Website-Login | 16+ | Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen |
| Datenbankpasswort | 24+ | Alle Zeichensätze |
| Passphrase für Verschlüsselungsschlüssel | 32+ | Alle Zeichensätze |
| PIN (Geräteentsperrung) | 8+ | Nur Zahlen |
Was zu vermeiden ist:
- Passwörter unter 12 Zeichen (mit modernen GPUs per Brute-Force knackbar)
- Nur Sonderzeichen (viele Dienste lehnen solche Passwörter ab)
- Passwörter, die bereits anderswo verwendet wurden
2. Passwortstärke-Prüfer: Prüfen, bevor man es festlegt
Bevor Sie ein Passwort setzen – oder bestehende überprüfen – testen Sie es mit unserem Passwortstärke-Prüfer. Er bewertet:
- Längenbewertung – länger ist immer besser
- Zeichensatzvielfalt – Kleinbuchstaben, Großbuchstaben, Ziffern, Sonderzeichen
- Häufige Muster – Wörterbucheinträge, Tastatursequenzen, wiederholte Zeichen
- Entropie-Bits – das mathematische Maß dafür, wie schwer ein Passwort zu erraten ist
Der Entropiewert ist das ehrlichste Maß. Ein Passwort mit 128 Bit Entropie würde bei aktueller Rechenleistung länger zum Brute-Forcen benötigen als das Alter des Universums.
"password" → Entropie: ~11 Bits ❌ Katastrophal
"P@ssw0rd" → Entropie: ~18 Bits ❌ Immer noch katastrophal (Muster)
"correct-horse-bat" → Entropie: ~44 Bits ⚠ Mäßig (Wörterbucheinträge)
"Kx9#mP2$vL7nQw" → Entropie: ~87 Bits ✅ Stark
"mQ3$kX9#nP7&vL2@" → Entropie: ~104 Bits ✅ Sehr stark
3. AES-256-Verschlüsselung: Text mit militärischer Verschlüsselung schützen
Sie möchten eine geheime Notiz speichern, einen Konfigurationswert verschlüsseln oder sensiblen Text über einen unsicheren Kanal senden? Unser AES Verschlüsseln / Entschlüsseln-Tool verwendet AES-256-GCM – denselben Algorithmus, den Banken, Behörden und Ende-zu-Ende-verschlüsselte Messaging-Apps einsetzen.
So funktioniert AES-256-GCM (vereinfacht)
- Ihre Passphrase wird durch PBKDF2 mit 200.000 Iterationen verarbeitet, um einen 256-Bit-Schlüssel abzuleiten
- Für jede Verschlüsselung wird ein zufälliger IV (Initialisierungsvektor) generiert – so wird sichergestellt, dass identischer Klartext jedes Mal anders verschlüsselt wird
- Der Klartext wird verschlüsselt und ein Authentifizierungs-Tag generiert – er erkennt Manipulationen
- Die Ausgabe ist base64-kodiert:
IV + Tag + Ciphertext
Klartext: "API_KEY=sk_live_abc123"
Passphrase: "my-strong-passphrase"
↓
Verschlüsselt: "a3Fm9K2...base64...Xp7nQ=="
Sicherheitseigenschaften:
- ✅ Zero Knowledge – nichts wird an einen Server übertragen
- ✅ Authentifizierte Verschlüsselung – Entschlüsselung schlägt fehl, wenn der Ciphertext manipuliert wurde
- ✅ Salt- und IV-Randomisierung – gleiche Eingabe erzeugt jedes Mal eine andere Ausgabe
- ✅ 200.000 PBKDF2-Iterationen – widerstandsfähig gegen Passphrasen-Brute-Force
Praktische Anwendungsfälle:
.env-Werte verschlüsseln, bevor sie in einer Notiz-App gespeichert werden- Ein Passwort per E-Mail/Slack an einen Kollegen weitergeben (Ciphertext senden; Passphrase über einen anderen Kanal mitteilen)
- Tagebucheinträge oder persönliche Notizen verschlüsseln
- API-Schlüssel in verschlüsselter Form in einer Tabelle speichern
4. Passwort-Hash-Generator: PBKDF2 für sichere Speicherung
Wenn Sie eine App entwickeln, die Benutzerpasswörter speichert, dürfen Sie niemals Passwörter im Klartext speichern – oder schwache Hashes wie MD5/SHA-1 verwenden. Unser Passwort-Hash-Generator verwendet PBKDF2-SHA256 zur Erstellung sicherer Passwort-Hashes.
Warum PBKDF2 und nicht MD5/SHA-256?
| Hash | Zeit pro Versuch (GPU) | Iterationen | Bewertung |
|---|---|---|---|
| MD5 | 0,001 ms | 1 | ❌ Gebrochen |
| SHA-256 | 0,002 ms | 1 | ❌ Zu schnell |
| PBKDF2-SHA256 | 200 ms+ | 200.000 | ✅ Angemessen |
| bcrypt (Cost 12) | 300 ms+ | adaptiv | ✅ Angemessen |
Der gesamte Sinn des Passwort-Hashings besteht darin, jeden Rateversuch aufwendig zu machen. Schnelle Hashes sind für Passwörter katastrophal ungeeignet.
Ausgabeformat des Hashes:
pbkdf2$200000$<salt>$<hash>
Der Salt ist pro Hash zufällig, das heißt, dasselbe Passwort erzeugt jedes Mal einen anderen Hash – das verhindert Rainbow-Table-Angriffe.
5. TOTP / 2FA-Generator: Authentifizierungscodes testen
Unser TOTP / 2FA-Generator generiert zeitbasierte Einmalpasswörter, die mit Google Authenticator, Authy und jeder RFC 6238-konformen Authenticator-App kompatibel sind. Geben Sie einen Base32-Geheimschlüssel ein und erhalten Sie den aktuellen 6-stelligen Code mit Countdown.
Anwendungsfälle:
- Überprüfen, ob Ihre Server-seitige TOTP-Implementierung die richtigen Codes erzeugt
- Ein 2FA-Setup testen, bevor es für Nutzer ausgerollt wird
- Codes für ein bereits eingerichtetes Geheimnis generieren (als Backup-Methode)
TOTP-Codes ändern sich alle 30 Sekunden, sind an die aktuelle UTC-Zeit gebunden und ohne den Geheimschlüssel mathematisch unmöglich vorherzusagen.
6. Diceware-Passphrasen: Einprägsam und mathematisch stark
Unser Diceware-Passwort-Generator erstellt Passphrasen aus der EFF-Wortliste – derselbe Ansatz, den Sicherheitsforscher für Master-Passwörter und Festplattenverschlüsselungsschlüssel verwenden.
Beispiel: correct-horse-battery-staple-voyage
Warum Passphrasen bei Master-Passwörtern besser sind als zufällige Zeichenfolgen:
| Passwort | Entropie | Einprägsamkeit |
|---|---|---|
Kx9#mP2$ (8 Zeichen) |
~52 Bits | Sehr schwer |
correct-horse-battery (3 Wörter) |
~58 Bits | Einfach |
correct-horse-battery-staple (4 Wörter) |
~77 Bits | Mäßig |
correct-horse-battery-staple-voyage (5 Wörter) |
~96 Bits | Handhabbar |
Für ein Passwort-Manager-Master-Passwort – das Sie auswendig lernen und niemals aufschreiben dürfen – ist eine 5-Wort-Diceware-Passphrase die beste Balance aus Sicherheit und Einprägsamkeit.
Sicherheits-Checkliste
Gehen Sie diese Liste durch, bevor Sie ein Authentifizierungssystem in Betrieb nehmen:
- ✅ Passwörter mit dem Passwort-Generator generieren –
crypto.getRandomValues()verwenden - ✅ Passwortstärke mit dem Passwortstärke-Prüfer prüfen – für privilegierte Konten auf 80+ Entropie-Bits abzielen
- ✅ Gespeicherte Passwörter mit PBKDF2, bcrypt oder Argon2 hashen – Ausgabeformat mit dem Passwort-Hash-Generator prüfen
- ✅ Sensible Werte im Ruhezustand mit AES Verschlüsseln schützen – AES-256-GCM verwenden, nicht AES-ECB
- ✅ 2FA aktivieren und Codes mit dem TOTP-Generator testen
- ✅ Für Master-Passwörter den Diceware-Generator verwenden – mindestens 5 Wörter
Die wichtigste Erkenntnis: Jedes Tool auf dieser Liste läuft vollständig in Ihrem Browser. Ihre Passwörter, Klartexte und Hashes verlassen Ihr Gerät niemals. Das ist kein Feature – es ist der Mindeststandard für Sicherheits-Tools.