Correct Horse .org

Passwords done right

Dein Correct-Horse-Password

Klicke auf den Button um ein neues zu erzeugen

Ich brauche mehr Einstellungen …

Das Passwort wird aus den folgenden Wörtern generiert:

Warum ist das ein gutes Passwort?

Was macht ein gutes Passwort aus?

Das Passwort oben enthält 52 Bit Entropie. Das bedeutet, dass es so zufällig ist, wie das Ergebnis des Werfens von 52 Münzen nacheinander. Das ist so, weil jedes Wort zufällig aus einer Liste von über 8192 verschiedenen Wörtern ausgewählt wurde – was einer Entropie von 13 Bits entspricht.

Das heißt, es ist so zufällig wie ein komplett zufälliges Passwort der Länge 8, das aus Großbuchstaben, Kleinbuchstaben und Zahlen generiert wird. Allerdings ist es viel einfacher zu merken als ein komplettes zufälliges Passwort von 8 Zeichen. Oder wie Randal Munroe es ausdrückt:

Von Randall Munroes berühmtem Webcartoon XKCD (xkcd.com).

Warum kann ich dieser Seite vertrauen …

… mit so etwas Wichtigem wie meinem Passwort?

Kurze Antwort: Das sollten Sie nicht. Sie sollten damit keiner Website vertrauen.

Diese Seite ist jedoch so einfach wie möglich gehalten (vom Quellcode her). Sie können sich also davon überzeugen, dass

  • das Passwort wird komplett zufällig generiert (soweit wie Ihr Browser Math.random() implementiert),
  • das Passwort wird nicht an den Server gesendet,
  • nichts anderes außer der Passwort-Generierung gemacht wird.

Da das Passwort niemals an einen Server geschickt wird, kann auch niemand zwischendurch das Passwort lesen (außer der Kollege, der hinter Ihnen steht). Um sicherzustellen, dass auch diese Webseite überhaupt nicht verändert wurde, sollten Sie überprüfen, dass Sie diese Webseite sicher über HTTPS abgerufen haben und die Verbindung mit einem vertrauenswürdigen Zertifikat hergestellt wurde.

Wenn Sie den Quelltext dieser Website betrachten, können Sie sehen, dass der einzige Code, der am Ende der Seite eingefügt wurde, das kleine Snippet ist, das Sie unten sehen können. Es gibt keinen JS-Framework, keine Werbung, die eingebettet ist, keine Google Analytics und es gibt keinen Facebook-Button, garnichts. Aber zögern Sie nicht, trotzdem diese Seite auf Facebook zu teilen, wenn Sie Ihnen gefällt! :) 

<script>
    function generatePassword() {
        var wordlist = document.getElementById("wordlist").value.split(" ");

        var password = "";
        for (var i = 0; i < 4; i++) {
            password += wordlist[Math.floor(Math.random() * wordlist.length)] + " ";
        }

        document.getElementById("password").value = password;
    }

    generatePassword();
</script>

Welche Wörter werden verwendet?

Kann ich die Wortlisten auch herunterladen?

Die verwendeten Wortlisten können hier heruntergeladen werden:

English: english.txt

8861 words

MD5: cdc20e6fe19c26fe44403d2e9f3c213c

SHA1: 4099869628b6b18ee52319db6588ec68f54d6a2b

Deutsch / German: german.txt

9353 words

MD5: 089a7f1d15f54bfd574b7c0e3e735a9d

SHA1: 5aadf36486bbb5156aa3d0980a7d2786fcdde8f2

Français / French: french.txt

8377 words

MD5: 6f14bcbf6d62619f9ce4e0ba027e545b

SHA1: 87d292a813353a93c54ed0a9a0658170a802c0a2

Nederlands / Netherlands: netherlands.txt

9192 words

MD5: b976733df4653155a506f07c9a54d6d6

SHA1: c5e60dbcc0dd51025418d8be3926c80d33f71226

Die Wortlisten stammen aus dem Wortschatz-Projekt Der Universität Leipzig. Sie sind nach den Wortschatz-Nutzungsbedingungen unter CC-BY-NC Lizenz verfügbar (gemäß den Wortschatz Nutzungsbedingungen). Wörter, die andere Zeichen als Buchstaben enthalten und sehr kurze Wörter wurden herausgefiltert. Außerdem wurden alle Wörter in Kleinschreibung umgewandelt.

Sie können diese Dateien verwenden, um Ihr Passwort lokal zu generieren. Wenn Sie Linux verwenden, können Sie einfach den folgenden Befehl aufrufen (<file> durch die entsprechende Datei ersetzen): 

shuf -n 4 <file> | tr '\n' ' '