Sicherheits- & Datenschutzmodell

Alles wird in Ihrem Browser erzeugt

Alle Passphrasen, Passwörter und Tokens werden lokal auf Ihrem Gerät durch JavaScript erzeugt, das in Ihrem Browser läuft. Es gibt keinen serverseitigen Erzeugungsschritt. Die Seite ist im Grunde ein statisches Tool: Sobald sie geladen ist, verrichtet sie ihre Arbeit, ohne mit einem Backend zu kommunizieren.

Ihre Geheimnisse werden niemals gesendet oder gespeichert

Die von Ihnen erzeugten Werte werden nicht über das Netzwerk übertragen, nicht in ein Protokoll geschrieben, nicht in einem Konto gespeichert und nicht in einem Cookie abgelegt. Es gibt überhaupt keine Benutzerkonten. Die einzige Analyse ist ein datenschutzfreundliches, cookieloses Tool, das anonyme Seitenaufrufe zählt — es erhält niemals die von Ihnen erzeugten Geheimnisse.

Welche Zufallsquelle verwendet wird

Der Zufall stammt aus der Web Crypto API (crypto.getRandomValues), dem kryptografisch sicheren Zufallszahlengenerator, der in moderne Browser eingebaut ist. Wenn der Generator zufällige Bytes auf eine Wortliste oder einen Zeichensatz abbildet, verwendet er Rejection Sampling, um Modulo-Verzerrung zu vermeiden, sodass jedes Wort oder Zeichen gleich wahrscheinlich ist. Für Geheimnisse wird niemals Math.random verwendet.

Wie die Entropie geschätzt wird

Weil das Tool die Wörter und Zeichen selbst auswählt, kennt es die genaue Größe des Pools, aus dem jedes gezogen wurde, und berechnet die Entropie direkt: Bit = Länge × log2(Poolgröße). Es verwendet keine heuristische Stärkeanzeige, die wirklich zufällige Geheimnisse unterbewerten würde. Die Werte zur Knackdauer dienen der Veranschaulichung, beruhen auf angenommenen Rateraten, und die Quantenschätzung spiegelt nur die quadratische Beschleunigung des Grover-Algorithmus wider.

Wovor dieses Tool schützen kann und wovor nicht

Es kann Ihnen ein Geheimnis mit hoher Entropie liefern, das dem Erraten und dem Offline-Knacken widersteht. Es kann Sie nicht vor einem kompromittierten Gerät, einem Keylogger, Schadsoftware, dem Mitlesen über die Schulter, Phishing oder einem Dienst schützen, der Ihr Passwort schlecht speichert. Starke Erzeugung ist eine Schicht; sichere Aufbewahrung und gute Gewohnheiten sind die anderen.

Behandeln Sie die Ausgabe als sensibel, sobald sie auf dem Bildschirm erscheint. Kopieren Sie sie in Ihren Passwortmanager und leeren Sie dann die Zwischenablage, wenn Sie an einem gemeinsam genutzten Rechner sitzen.

Praktische Ratschläge, hinter denen wir stehen

Verwenden Sie einen seriösen Passwortmanager, damit jedes Konto ein einzigartiges Geheimnis hat und Sie sich nur eine starke Passphrase merken. Verwenden Sie eine Passphrase oder ein Passwort niemals dienstübergreifend erneut. Aktivieren Sie die Zwei-Faktor-Authentifizierung, wo sie angeboten wird. Bevorzugen Sie Länge gegenüber Komplexität. Und halten Sie Ihre Geräte und Ihren Browser aktuell — das stärkste Geheimnis kann einem kompromittierten Rechner nicht helfen.

Offline-Nutzung und JavaScript

Die Generatoren benötigen JavaScript, weil die kryptografische Arbeit im Browser geschieht; mit deaktiviertem JavaScript kann das Tool keine Geheimnisse erzeugen. Sobald die Seite geladen ist, funktioniert es offline — Sie können die Netzwerkverbindung trennen und weiter erzeugen, was ein vernünftiger Weg ist, um ein hochwertiges Geheimnis mit zusätzlicher Gewissheit zu erstellen, dass nichts Ihren Rechner verlässt.