PrivaPass

Grundlagen der Passwortsicherheit

Wie Passwörter tatsächlich gestohlen werden

Bei den meisten Kontoübernahmen wird das Passwort gar nicht erst geknackt. Milliarden von E-Mail-Passwort-Kombinationen aus früheren Datenlecks werden online gehandelt, und Angreifer probieren sie einfach auf anderen Seiten durch — eine Technik namens Credential Stuffing, die funktioniert, weil Menschen überall dasselbe Passwort wiederverwenden. Schwache oder gängige Passwörter fallen zudem schnell automatisierten Wörterbuch- und Brute-Force-Werkzeugen zum Opfer, während Phishing-Seiten alles abgreifen, was Sie eintippen. Die Wiederverwendung ist das mit Abstand größte Risiko: Ein einziges geleaktes Konto kann jedes weitere Konto offenlegen, das dasselbe Passwort nutzt.

Was ein Passwort wirklich stark macht

Länge zählt mehr als Sonderzeichen. Eine zufällige Passphrase mit 16 Zeichen widersteht Brute-Force-Angriffen jahrhundertelang, während ein kurzes "P@ssw0rd!" trotz seines komplexen Aussehens in Sekunden fällt. Jedes Konto sollte ein eigenes, einzigartiges Passwort haben, damit ein einzelnes Datenleck nicht über all Ihre Logins hinweg kaskadiert. Vermeiden Sie Namen, Geburtstage und Wörterbuchwörter — alles, was sich aus Ihrem öffentlichen Leben erraten lässt. Ein Generator beseitigt die menschliche Vorhersehbarkeit, indem er Zeichenketten mit hoher Entropie erzeugt, auf die kein Mensch käme.

Warum ein Tresor auf dem Gerät die Cloud schlägt

Cloud-Passwortmanager bewahren eine verschlüsselte Kopie Ihres Tresors auf ihren Servern auf und werden damit zu einem hochwertigen Angriffsziel — und Sie müssen ihrer Sicherheit, ihren Mitarbeitern und ihrer Verfügbarkeit vertrauen. PrivaPass speichert Ihren mit AES-256-GCM verschlüsselten Tresor im Speicher Ihres eigenen Browsers, sodass es keinen zentralen Server gibt, der kompromittiert werden könnte, kein Konto, das per Phishing abgegriffen wird, und kein Abonnement, das ablaufen kann. Ihr Master-Passwort verlässt niemals Ihr Gerät, und die Leak-Prüfungen nutzen k-anonymity, sodass selbst eine Abfrage nichts preisgibt.

Was ist PrivaPass?

PrivaPass ist ein kostenloser, vollständig browserbasierter Passwort-Manager, der all Ihre Passwörter mit AES-256-GCM-Verschlüsselung generiert, speichert und verwaltet — demselben Standard, auf den sich Banken und Behörden verlassen. Der integrierte Generator erzeugt starke, kryptografisch zufällige Passwörter mit anpassbarer Länge (über 64 Zeichen) und Ihrer Auswahl aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, sodass Sie nie wieder ein schwaches, überall wiederverwendetes Passwort erfinden müssen. Man nutzt ihn, um jedem Konto ein eindeutiges Passwort zu geben, Zugangsdaten für Banking, E-Mail und soziale Netzwerke hinter einem einzigen Master-Passwort zu bündeln, zu prüfen, ob ein Passwort in einem bekannten Datenleck aufgetaucht ist, und ein verschlüsseltes Backup zwischen Laptop und Smartphone mitzunehmen. Ihr gesamter Tresor liegt in der IndexedDB Ihres Browsers und wird verschlüsselt, bevor er überhaupt auf die Festplatte geschrieben wird — nichts wird an einen Server übertragen, nicht einmal bei der Leck-Prüfung. Keine Installation, keine Anmeldung, kein Abo. Da die gesamte Kryptografie als JavaScript direkt in Ihrem Browser läuft, funktioniert PrivaPass vollständig offline, sobald die Seite geladen ist, und Ihr Tresor sowie die generierten Passwörter verlassen niemals Ihr Gerät.

So verwenden Sie PrivaPass

  1. 1

    1. Passwort generieren

    Verwenden Sie den integrierten Generator, um sofort kryptografisch starke, zufällige Passwörter zu erstellen. Passen Sie Länge, Zeichenarten (Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen) und Muster an Ihre Anforderungen an.

  2. 2

    2. Im Tresor speichern

    Speichern Sie Ihre Zugangsdaten sicher im verschlüsselten Tresor, der ausschließlich durch Ihr Master-Passwort geschützt ist. Ordnen Sie Einträge nach Kategorien und nutzen Sie die Suchfunktion, um Passwörter sofort zu finden.

  3. 3

    3. Exportieren und sichern

    Laden Sie regelmäßig verschlüsselte Backup-Dateien herunter, um Ihre Passwörter zwischen Geräten zu übertragen oder gegen Datenverlust abzusichern — vollständig ohne Cloud-Server.

Warum ist PrivaPass sicher?

Cloud-Passwort-Manager bewahren eine verschlüsselte Kopie Ihres Tresors auf ihren eigenen Servern auf, was sie zu einem hochwertigen Angriffsziel macht — und Sie müssen ihrer Sicherheit, ihrem Personal und ihrer Verfügbarkeit vertrauen. PrivaPass verfolgt den umgekehrten Ansatz: Es generiert und verschlüsselt alles in Ihrem Browser mit AES-256-GCM, und Ihr Tresor verlässt niemals Ihr Gerät. Es gibt keinen zentralen Server, der gehackt werden könnte, kein Konto, das per Phishing angegriffen werden könnte, und kein Abo, das auslaufen könnte. Ihr Master-Passwort wird nirgendwo gespeichert oder übertragen — weder auf einem Server noch länger im Arbeitsspeicher als den Moment, den das Entschlüsseln Ihres Tresors dauert —, sodass eine Wiederherstellung von Grund auf unmöglich ist, was zugleich bedeutet, dass niemand außer Ihnen ihn je öffnen kann. Da alles vollständig clientseitig läuft, müssen Sie uns nicht einfach glauben: Öffnen Sie den Netzwerk-Tab (Network) in den DevTools Ihres Browsers, während Sie ein Passwort generieren oder einen Eintrag speichern, und Sie werden sehen, dass nie eine Upload-Anfrage gesendet wird. Für einen noch klareren Beweis schalten Sie nach dem Laden der Seite Ihr WLAN aus — Generieren, Speichern, Suchen und Exportieren funktionieren weiterhin, weil ohnehin nie etwas an einen Server ging. Die einzige Funktion, die das Internet berührt, ist die optionale Leck-Prüfung, und selbst die nutzt das k-anonymity-Verfahren: Sie sendet nur die ersten fünf Zeichen des Passwort-Hashes, damit Ihr Passwort während der Abfrage privat bleibt.

Häufig gestellte Fragen

Nein. PrivaPass speichert alle Passwörter ausschließlich in der IndexedDB Ihres Browsers, verschlüsselt mit starker Kryptografie. Das Master-Passwort selbst wird ebenfalls nie gespeichert — es wird nur zur Laufzeit im Arbeitsspeicher gehalten, um den Tresor zu entsperren, und ist nach dem Schließen des Tabs vollständig verschwunden.
Das Master-Passwort wird nirgendwo — weder lokal noch auf einem Server — gespeichert und kann bei Verlust technisch nicht wiederhergestellt werden. Bewahren Sie es unbedingt an einem sicheren, offline-Ort auf (z. B. handschriftlich in einem Safe). Das ist der unvermeidliche Preis einer echten Zero-Knowledge-Architektur, die sicherstellt, dass kein Dritter jemals Zugriff haben kann.
Ja. Nutzen Sie die Exportfunktion, um eine verschlüsselte Backup-Datei auf Ihr Gerät herunterzuladen. Diese Datei kann auf einem anderen Gerät importiert werden, indem Sie sie auswählen und Ihr Master-Passwort eingeben — ohne Server-Synchronisation und ohne Cloud-Speicher.
Zur Überprüfung, ob ein Passwort in bekannten Datenlecks aufgetaucht ist, wird der Have I Been Pwned-Dienst auf eine datenschutzfreundliche Weise abgefragt: Nur die ersten fünf Zeichen eines Einweghashs des Passworts werden übertragen — das eigentliche Passwort verlässt Ihr Gerät nie und wird auf keinem Server gespeichert.
Ja. Da alle Daten in der IndexedDB Ihres Browsers gespeichert sind, werden sie beim Löschen von Browserdaten (Verlauf, Cache, Webseitendaten) ebenfalls gelöscht. Erstellen Sie daher regelmäßig verschlüsselte Backups über die Exportfunktion, bevor Sie Browserdaten bereinigen.
Ja zum Offline-Betrieb und nein zu Uploads. Das Generieren von Passwörtern, das Speichern und Durchsuchen von Einträgen sowie der Export Ihres verschlüsselten Backups laufen vollständig auf Ihrem Gerät, ohne dass eine Netzwerkverbindung erforderlich ist — Sie können PrivaPass also im Flugzeug oder mit ausgeschaltetem WLAN nutzen, sobald die Seite geladen ist. Ihre Passwörter und Ihr Tresor werden niemals irgendwohin übertragen — Sie können das bestätigen, indem Sie während der Arbeit den Netzwerk-Tab in den DevTools Ihres Browsers öffnen oder einfach die Internetverbindung trennen und beobachten, dass alles weiterhin funktioniert. Die einzige Ausnahme ist die optionale Leck-Prüfung, die konstruktionsbedingt nur die ersten fünf Zeichen eines Passwort-Hashes sendet, niemals das Passwort selbst.
Sehr stark. PrivaPass nutzt den in Ihrem Browser integrierten kryptografisch sicheren Zufallszahlengenerator (die Web-Crypto-API) — keine vorhersehbare Software-Abkürzung —, um Passwörter mit hoher Entropie zu erzeugen, die kein Mensch und kein musterbasiertes Werkzeug erraten könnte. Sie bestimmen die Länge (bis über 64 Zeichen) und welche Zeichensätze enthalten sein sollen: Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Da Länge weit mehr zur Stärke beiträgt als Komplexität allein, widersteht ein zufälliges 16-Zeichen-Passwort bereits jahrhundertelang Brute-Force-Angriffen. Die Passwörter werden lokal generiert und nur dann in Ihrem Tresor gespeichert, wenn Sie das Speichern wählen.