Sicherer Online Passwort-Generator von HelloCoding.de

In der Theorie klingt es sehr verlockend jeden Monat alle seine Passwörter zu ändern. Dann wird das schon sicher sein. In der Regel ist genau das Gegenteil der Fall. Denn die meisten Leute sind faul und ergänzen dann nur einzele Zeichen oder machen minimale Änderungen. Oft wechseln Personen zu leichteren Passwörtern, die man sich besser merken kann. Auch das BSI hat sich 2020 dafür entschieden, nicht mehr darauf hinzuweisen, dass man seine Passwörter regelmäßig ändern soll. Es sei denn, es gibt Hinweise darauf, dass ein Passwort aufgedeckt wurde.

Quelle: https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html

Es gibt einige Webseiten die gestohlene Accounts, Daten und Passwörter aufspüren, um daraus eine Datenbank zu erstellen, mittels der man prüfen kann, ob Passwörter schon einmal geleakt wurden. Allerdings sollte man auch bei solchen Webseiten vorsichtig sein. Bei einigen besteht die Gefahr, dass Passwörter, die man zur Prüfung gibt, gespeichert werden.

Eine Webseite, die als relativ sicher gilt, ist: https://haveibeenpwned.com/

Dort kannst du auch nur eine E-Mail oder Telefonnummer angeben und danach siehst du, ob deine Daten in einem Datensatz enthalten sind. Und siehst in dem Zusammenhang auch, ob in diesen Datensätzen Passwörter enthalten sind. Ist diess der Fall, solltest du auf diesen Platformen dein Passwort ändern.

Es gibt gewisse Kriterien, die ein sicheres Passwort erfüllen muss.

• Das Passwort enthält keine Begriffe aus dem Wörterbuch
• Das Passwort sollte um Sicher zu sein Mindestens 16 Zeichen lang sein. Dabei gilt immer: Umso mehr Zeichen desto besser. Zu lang gibt es nicht. Wenn man es zum Beispiel über einen Passwort-Manager verwaltet, dürfen es auch gerne 256 Zeichen sein. Man muss es sich ja nicht merken.
• Verwende Zeichen aus vielen verschieden Zeichensätzen also Groß-, Kleinschreibung und Zahlen sowie Sonderzeichen. Natürlich kannst du auch noch weitere Zeichensätze hinzufügen. Sofern es sich noch eingeben lässt oder über einen Passwort-Manager verwaltet werden kann.
• Verwende in einem Passwort niemals persönliche Daten, die in irgendeiner Weise mit dir in Verbindung gebracht werden können. Zum Beispiel: Name des Partner, Geburtstage, Haustiername, Geburtsname, Lieblingstier oder auch die Lieblingsfarbe. All diese Informationen sollte dein Passwort nicht enthalten.
• Achte darauf keine Muster zu verwenden. Zum Beispiel "349iKd$349iKd" sieht zum Beipsiel auf den ersten blick sicher aus aber "349iKd" wiederholt sich nach dem Dollarzeichen. Auch solche Passwörter solltest du vermeiden.
• Verwende möglichst keine nacheinander folgenden Zeichen auf der Tastatur, wie zum Beispiel "qwertz123456" und ähnliches.
• Eine Hohe Komplexität in Kombination mit eine sehr ordentlichen Länge, ist die beste Möglichkeit ein sicheres Passwort zu erstellen.

Der Grund dafür ist das es immer wieder dazu kommt das Passwörter gestohlen werden sei es durch Social Hacking oder das Platformen direkt angegriffen werden. Selbst die größeren Platformen können häufig Angriffe vorweise, bei denen Daten gestohlen wurden. Dazu gehören auch Passwörter. Oder eine Platform speichert die Passwörter im Klartext und der Seitenbetreiber hat ein Interesse daran diese weiterzugeben. Aus diesen Gründen ist es so wichtig, bei jedem Portal ein anderes Passwort zu nutzen. Gerade durch Passwort-Manager, die in den meisten Brwosern schon integriert sind, gestalten die Realisierung eines sicheren Passworts simpel.

Von folgenden Unternehmen wurden bereits Daten gestohlen, die das Passwort des Nutzers als Hash oder im Klartext enthalten haben. Deshalb ist dieser Punkt so wichtig!

• Adobe (Oktober 2013) - Betroffende Datensätze 153 Millionen (Hashed)
• 500px (Mitte 2018) - Betroffende Datensätze 15 Millionen (Hashed)
• Yahoo! (July 2012) - Betroffende Datensätze 500.000 (Klartext Passwörter)

Darüber hinaus gibt es auch Datenquellen, die keine Passwörter aber nützliche Informationen über Personen enthalten, mit denen man auf persönliche Passwörter schließen kann. Zum Beispiel Facebook im April 2021 mit 500 Millionen gestohlenen User-Account-Daten. Die folgendes enthielten: Geburtstag, E-Mail, Geschlecht, Adressen, Namen, Telefonnummern, Beziehungsstatus.

Quelle: https://haveibeenpwned.com/PwnedWebsites

Nordpass.com hat eine Studie zu den 200 meist genutzten Passwörter von 2021 erstellt.

Die Top Ten der meistgenutzten Passwörter in Deutschland:

• 123456
• 123456789
• 12345678
• password
• 1234567
• 111111
• 123123
• 1234567890
• abc123
• 000000

Quelle: https://nordpass.com/de/most-common-passwords-list/

Es ist wichtig seine Passwörter regelmäßig zu prüfen, und auch zu hinterfragen wie sicher ist mein Passwort. abc123 ist kein sicheres Passwort, genauso wenig wie 123456. Achte darauf keine Standard-Phrasen zu verwenden, keine Zeichenfolgen auf der Tastatur. Deshalb ist ein Passwort Generator so sinnvoll. Menschen denken immer in Mustern, sei es noch so zufällig, es lässt sich meist ein Muster erkennen.

"Zwei-Faktor-Authentisierung" ist das Zauberwort. Hierbei sind zwei Schritte zur Autentifizierung des Nutzers erforderlich.

Die gänigsten und häufig angebotene Möglichkeit ist, dass man ein Passwort hat und eine App, zum Beispiel "Google Authenticator, Authy, Last Pass Authenticator" oder ähnliche. Diese erstellen alle 60 Sekunden einen Code (ähnlich der Tan beim Online-Banking), diesen muss man nach Eingabe des Passworts angeben. Da dieser Code sich regelmäßig ändert kann man ihn nur sehr schwer knacken und man benötigt das entsprechende Gerät, auf der die App eingerichtet ist.

Zum Beispiel Discord, Google, Facebook und viele weitere bieten eine solche Authentifizierung. Wer also sicher gehen will, sollte diese Möglichkeit der 2FA (Zwei-Faktor-Authentisierung) aktivieren.

Es gibt noch weitere Formen der 2FA zum Beispiel:

• E-Mail
• SMS
• per Smartcard
• Yubikey → Ein Hardwareschlüssel, der in den Computer per USB gesteckt wird.

Der Passwort-Generator generiert das Passwort aus dem angegegeben Zeichensatz, diesen kannst du aus verschiedenen Optionen zusammensetzen.

Aus diesem Zeichensatz wird dann ein zufälliges Passwort, in der angegeben Länge, generiert. Mit der JavaScript Funktion crypto.getRandomValues() und einem entsprechenden Array wird eine Liste von Nummern generiert. Diese wird mit der Länge des Zeichensatzes dupliziert. Um nun ein Zeichen in der Range vom Zeichensatz zu erhalten.

Die Funktion, wie die Nummern auf dessen Basis die Zeichen ausgewählt werden, habe ich in folgender JavaScript Funktion programmiert. Es wird mir ein Array von zufälligen Float-Nummern in der gewünschten Länge zurückgegeben.

function getRandom(len) {
    let input = new Uint32Array(len);
    let resultat = [];
    crypto.getRandomValues(input);

    input.forEach(e => { resultat.push(e / 0xffffffff); });

    return resultat;
}

Die Funktion crypto.getRandomValues() wird dafür herangezogen. Diese kann kryptografisch starke Zufallswerte erstellen, basiert auf einem Pseudozufallszahlengenerator (PRNG), der vom User-Agent des Nutzers abhänig ist.

Ein echter Zuffalszahlengenerator kann zum Beispiel auf atmosphärischen Rauschen beruhen. Das ist, zum Beispiel, bei random.org der Fall. Heutige Pseudozufallszahlengenerator (PRNG) reichen allerdings völlig für die Generierung eines Zufallspassworts aus.

Nein. Es wird keine Verbindung zu einem Server hergestellt, um das Passwort zu generieren. Dies geschieht ausschließlich mittels JavaScript. Und auch im JavaScript selbst ist keine entsprechende Programmierung enthalten, die einen Cookie setzt oder im Local bzw. Session Storage die generierten Passwörter ablegt.

Beim Speichern der Einstellung wird ein JSON String der Einstellung im Local Storage gespeichert. Damit du wenn du die Seite Bookmarkst und wieder kommst wieder die selben Einstellungen beibehältst. Dort werden keine Passwörter gespeichert, nur deine Konfiguration.

So sehen die Einstellungen aus:

{
   "chars":"64", // Länge des Passworts
   "lower":"y", // ASCII Lowercase Zeichen (a,b,c)
   "upper":"y", // ASCII Uppercase Zeichen (A,B,C)
   "numbers":"y", // Zahlen
   "symbols":"y", // Sonderzeichen
   "range":"1", // Anzahl zu generierender Passwörter
   "addchars":"", // Die Eingetragenden Zusätzlichen Zeichen
   "savesettings":"y" // Ob die Einstellungen Gespeichert werden sollen.
}