Ein Passwort-Generator hilft nur, wenn Sie die richtige Art von Geheimnis für die jeweilige Aufgabe wählen. Genau da bleiben viele stecken. Sie wissen, dass sie etwas Sichereres wollen, sind sich aber nicht sicher, ob sie ein zufälliges Passwort, eine einprägsame Passphrase oder eine numerische PIN generieren sollen.

Der einfachste Weg zur Entscheidung besteht darin, nicht mehr abstrakt danach zu fragen, welche Option die sicherste ist. Fragen Sie stattdessen, welche Option zum Anmeldekontext passt. Ein Website-Account, ein täglicher mobiler Login und das lokale Entsperren eines Geräts bergen nicht das gleiche Risiko.

Wenn Sie schnell entscheiden möchten, ist der Modus für zufällige Passwörter auf der Startseite die beste Standardwahl für die meisten Account-Logins, während der Modus für einprägsame Passphrasen und der PIN-Generator auf der Startseite in spezifischeren Fällen mehr Sinn ergeben. Der Schlüssel dazu ist zu wissen, wo jede Option hingehört.

Warum ein Generatormodus nicht für jeden Login geeignet ist

Ein starkes Login-Geheimnis hat nicht nur mit reiner Komplexität zu tun. Es geht auch darum, wo Sie es verwenden und wie oft Sie es eingeben müssen. Es hängt zudem davon ab, ob ein Passwort-Manager beteiligt ist und ob das Geheimnis einen Online-Account schützt oder lediglich ein lokales Gerät entsperrt.

Deshalb bietet die Seite drei Modi anstelle von einem. Zufällig, Einprägsam und PIN sind keine rein kosmetischen Entscheidungen. Sie lösen unterschiedliche Reibungspunkte, während das Kernziel gleich bleibt: etwas Einzigartiges generieren, anstatt alte, schwache Zugangsdaten wiederzuverwenden.

Wann ein zufälliges Passwort die stärkste Standardwahl ist

Am besten für Account-Logins, die Sie in einem Manager speichern

Für die meisten Website- und App-Accounts ist ein zufälliges Passwort nach wie vor die stärkste Standardwahl. Es ist schwer vorherzusagen, einfach einzigartig zu gestalten und erfordert nicht Ihr Gedächtnis, wenn Sie es ordnungsgemäß speichern.

Das entspricht aktuellen Standards. Die NIST SP 800-63B besagt, dass Passwörter, die als Geheimnisse für die Ein-Faktor-Authentifizierung verwendet werden, mindestens 15 Zeichen lang sein müssen. Das ist ein Grund, warum ein Generator so nützlich für gespeicherte Logins ist: Er macht lange, einzigartige Zeichenfolgen einfach erstellbar, ohne sie von Hand erfinden zu müssen.

Wo zufällige Zeichenfolgen mehr Hürden als Nutzen schaffen

Zufällige Zeichenfolgen werden unpraktisch, wenn Sie diese häufig auf einem Telefon, Tablet, einer TV-Fernbedienung oder einer anderen unkomfortablen Eingabeoberfläche eingeben müssen. In diesen Fällen könnte die theoretisch stärkste Zeichenfolge Menschen zu unsicherem Verhalten verleiten, wie etwa Passwörter in einfachen Notizen zu speichern oder später einfacher zu merkende wiederzuverwenden.

Das bedeutet nicht, dass zufällige Passwörter falsch sind. Es bedeutet, dass sie am besten funktionieren, wenn der Login mit einem Passwort-Manager oder einer anderen zuverlässigen Methode zum Speichern und automatischen Ausfüllen kombiniert wird.

Wann eine einprägsame Passphrase der bessere Kompromiss ist

Gut für Logins, die Sie tatsächlich oft eingeben müssen

Eine einprägsame Passphrase kann der bessere Kompromiss sein, wenn Sie ein Geheimnis benötigen, das Sie regelmäßig eingeben und bei dem Sie sich nicht immer auf das automatische Ausfüllen verlassen können. Eine lange Phrase aus nicht zusammenhängenden Wörtern ist oft einfacher einzugeben und weniger verlockend, an einem falschen Ort aufgeschrieben zu werden.

NIST unterstützt hier ebenfalls längere, flexiblere Geheimnisse. Dieselbe NIST-Richtlinie besagt, dass Verifikatoren alle druckbaren ASCII-Zeichen sowie das Leerzeichen akzeptieren sollten. Sie besagt außerdem, dass sie eine maximale Länge von mindestens 64 Zeichen zulassen sollten. Das schafft Platz für lange Passphrasen, anstatt Benutzer zu kurzen, schwer zu merkenden Zeichenfolgen zu zwingen.

Wo Passphrasen dennoch zusätzliche Vorsicht erfordern

Eine Passphrase ist nicht automatisch stark, nur weil sie Wörter verwendet. Sie muss dennoch lang genug, ungewöhnlich genug und einzigartig für diesen Account sein. Ein berühmtes Zitat, eine Liedzeile oder eine Phrase, die Sie bereits anderswo verwenden, ist kein guter Ersatz für ein wirklich neues Geheimnis.

Hier hilft der Modus „Einprägsam“ der Seite. Er bietet Ihnen eine Möglichkeit, etwas zu generieren, das leichter zu behalten ist, ohne in persönliche Muster, wiederverwendete Lieblingsphrasen oder vorhersehbare Ersetzungen zurückzufallen.

Wann eine PIN auf ein Gerät gehört und nicht auf eine Website

Nützlich für Kontexte zum lokalen Entsperren von Geräten

Eine numerische PIN passt zu lokalen Entsperr-Kontexten wie Telefonen oder Tablets mit Begrenzungen bei den Eingabeversuchen. Das ist etwas ganz anderes als die Verwendung eines kurzen numerischen Geheimnisses als Hauptpasswort für einen Online-Account.

NIST zieht diese Grenze klar. In seinen Richtlinien für Aktivierungsgeheimnisse besagt NIST, dass lokale gerätebasierte PIN-ähnliche Geheimnisse mindestens 4 Zeichen lang sein müssen. Es wird zudem empfohlen, dass sie mindestens 6 Zeichen lang sein sollten. Das ist ein nützlicher Maßstab für das Denken beim Entsperren von Geräten, aber kein Grund, ein echtes Account-Passwort durch eine kurze PIN zu ersetzen.

Warum eine PIN kein starkes Account-Passwort ersetzen sollte

Ein Website-Passwort schützt normalerweise einen Online-Account, der Credential Stuffing, Angriffen durch Passwort-Wiederverwendung und den Auswirkungen umfassender Datenpannen ausgesetzt sein kann. Eine kurze numerische PIN ist in diesem Kontext weitaus leichter zu erraten und weitaus weniger flexibel als ein vollständiges Passwort oder eine Passphrase.

Deshalb sollte der PIN-Modus der Website als spezifische Option behandelt werden, nicht als universelle Antwort. Er passt zu bestimmten lokalen Anforderungen für das Entsperren von Geräten. Er ersetzt kein starkes Account-Geheimnis für E-Mail, Arbeitstools, Bankgeschäfte oder andere Logins mit hohem Schutzbedarf.

Wie Sie schnell den richtigen Modus auf der Startseite wählen

Passen Sie den Modus an den Login-Typ an, bevor Sie auf „Generieren“ klicken

Eine schnelle Entscheidungsregel hilft. Wenn das Geheimnis für einen normalen Online-Account bestimmt ist und Sie es in einem Manager speichern werden, wählen Sie „Zufällig“. Wenn Sie es oft eingeben müssen und etwas Benutzerfreundlicheres benötigen, wählen Sie „Einprägsam“. Wenn das Geheimnis für das lokale Entsperren eines Geräts bestimmt ist, wählen Sie „PIN“.

Das hält die Entscheidung einfach, ohne sie unvorsichtig zu machen. Sie wählen kein Lieblingsformat. Sie wählen das am wenigsten riskante Format für die genaue Aufgabe.

Kopieren Sie es, speichern Sie es und vermeiden Sie kurzfristige Wiederverwendung

Die Generierung ist nur der erste Schritt. Die Gewohnheiten bei der Speicherung und Wiederverwendung sind danach genauso wichtig. Wenn ein Passwort stark ist, aber auf mehreren Websites wiederverwendet wird, kann eine Datenpanne den Schaden dennoch verbreiten.

Die Passwort-Richtlinien der FTC empfehlen, für jeden Account lange, einzigartige Passwörter zu verwenden, da die Wiederverwendung von Passwörtern mehrere Accounts gefährden kann, wenn eine Website gehackt wird. Deshalb ist der sicherste Arbeitsablauf nicht nur generieren und kopieren. Er besteht darin, zu generieren, korrekt zu speichern und mit einem frischen Geheimnis zum nächsten Account überzugehen.

Was Sie tun sollten, bevor Sie ein neues Geheimnis generieren

Beginnen Sie damit, den Login-Kontext zu benennen. Ist dies ein Online-Account, ein häufig eingegebener Login oder das lokale Entsperren eines Geräts? Sobald diese Antwort klar ist, wird der richtige Modus meist offensichtlich.

Generieren Sie dann einmal, kopieren Sie sorgfältig und speichern Sie es am richtigen Ort. Das Ziel ist nicht, die einschüchterndste Zeichenfolge zu erstellen, die möglich ist. Das Ziel ist es, ein Geheimnis zu schaffen, das stark genug für das Risiko und so gut verwendbar ist, dass Sie nicht später versuchen werden, es zu umgehen.

Das ist der wahre Vorteil, wenn man „Zufällig“, „Einprägsam“ und „PIN“ an einem Ort hat. Sie können den Generatormodus an das Problem anpassen, anstatt ein Format in jede Sicherheitssituation zu erzwingen.