Die Suche nach einem "starken Passwortgenerator" liefert Millionen Ergebnisse. Doch hinter den Kulissen gibt es zwei völlig unterschiedliche Ansätze: Serverseitig (PHP/Python) und Clientseitig (JavaScript).
Die serverseitige Falle
Bei einem serverseitigen Generator fordert Ihr Browser ein Passwort von einem entfernten Server an. Der Server berechnet das Passwort und sendet es an Sie zurück.
Das Risiko: Theoretisch könnte dieser Server jedes generierte Passwort zusammen mit Ihrer IP-Adresse speichern. Wenn dieser Server gehackt wird, ist Ihr Passwort bereits bekannt, bevor Sie es überhaupt nutzen.
Die clientseitige Lösung (Window.Crypto)
Clientseitige Generatoren, wie der von ToolBond, funktionieren anders. Wir senden Ihrem Browser einen kleinen JavaScript-Code, der lokal auf Ihrem Gerät ausgeführt wird.
Wir nutzen die window.crypto.getRandomValues() API. Diese zieht die Zufälligkeit direkt aus der Hardware Ihres Geräts (z.B. Mausbewegungen oder CPU-Timing).
Warum das der einzige sichere Weg ist:
- Keine Übertragung: Das Passwort wird in Ihrem lokalen Arbeitsspeicher erstellt und nie über das Internet an uns gesendet.
- Echter Zufall: Im Gegensatz zu
Math.random()ist die Crypto-API kryptografisch sicher (CSPRNG). - Transparenz: Sie können den Quellcode jederzeit einsehen und prüfen, wie er auf Ihrem Rechner läuft.
Vertrauen Sie Ihre Sicherheit keinem fremden Server an. Nutzen Sie einen lokalen Passwortgenerator für Ihre sensiblen Daten.