PrivaPass

Grundlagen der Passwortsicherheit

Wie Passwörter tatsächlich gestohlen werden

Bei den meisten Kontoübernahmen wird das Passwort gar nicht erst geknackt. Milliarden von E-Mail-Passwort-Kombinationen aus früheren Datenlecks werden online gehandelt, und Angreifer probieren sie einfach auf anderen Seiten durch — eine Technik namens Credential Stuffing, die funktioniert, weil Menschen überall dasselbe Passwort wiederverwenden. Schwache oder gängige Passwörter fallen zudem schnell automatisierten Wörterbuch- und Brute-Force-Werkzeugen zum Opfer, während Phishing-Seiten alles abgreifen, was Sie eintippen. Die Wiederverwendung ist das mit Abstand größte Risiko: Ein einziges geleaktes Konto kann jedes weitere Konto offenlegen, das dasselbe Passwort nutzt.

Was ein Passwort wirklich stark macht

Länge zählt mehr als Sonderzeichen. Eine zufällige Passphrase mit 16 Zeichen widersteht Brute-Force-Angriffen jahrhundertelang, während ein kurzes "P@ssw0rd!" trotz seines komplexen Aussehens in Sekunden fällt. Jedes Konto sollte ein eigenes, einzigartiges Passwort haben, damit ein einzelnes Datenleck nicht über all Ihre Logins hinweg kaskadiert. Vermeiden Sie Namen, Geburtstage und Wörterbuchwörter — alles, was sich aus Ihrem öffentlichen Leben erraten lässt. Ein Generator beseitigt die menschliche Vorhersehbarkeit, indem er Zeichenketten mit hoher Entropie erzeugt, auf die kein Mensch käme.

Warum ein Tresor auf dem Gerät die Cloud schlägt

Cloud-Passwortmanager bewahren eine verschlüsselte Kopie Ihres Tresors auf ihren Servern auf und werden damit zu einem hochwertigen Angriffsziel — und Sie müssen ihrer Sicherheit, ihren Mitarbeitern und ihrer Verfügbarkeit vertrauen. PrivaPass speichert Ihren mit AES-256-GCM verschlüsselten Tresor im Speicher Ihres eigenen Browsers, sodass es keinen zentralen Server gibt, der kompromittiert werden könnte, kein Konto, das per Phishing abgegriffen wird, und kein Abonnement, das ablaufen kann. Ihr Master-Passwort verlässt niemals Ihr Gerät, und die Leak-Prüfungen nutzen k-anonymity, sodass selbst eine Abfrage nichts preisgibt.

Was ist PrivaPass?

PrivaPass ist ein kostenloser, vollständig browserbasierteer Passwort-Manager. Er generiert starke zufällige Passwörter, speichert sie mit starker Kryptografie im lokalen Speicher Ihres Browsers und ermöglicht sichere Backups per verschlüsseltem Dateiexport. Alle Daten bleiben ausschließlich auf Ihrem Gerät — kein Cloud-Server, kein Synchronisationsdienst, keine externe Abhängigkeit.

So verwenden Sie PrivaPass

  1. 1

    1. Passwort generieren

    Verwenden Sie den integrierten Generator, um sofort kryptografisch starke, zufällige Passwörter zu erstellen. Passen Sie Länge, Zeichenarten (Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen) und Muster an Ihre Anforderungen an.

  2. 2

    2. Im Tresor speichern

    Speichern Sie Ihre Zugangsdaten sicher im verschlüsselten Tresor, der ausschließlich durch Ihr Master-Passwort geschützt ist. Ordnen Sie Einträge nach Kategorien und nutzen Sie die Suchfunktion, um Passwörter sofort zu finden.

  3. 3

    3. Exportieren und sichern

    Laden Sie regelmäßig verschlüsselte Backup-Dateien herunter, um Ihre Passwörter zwischen Geräten zu übertragen oder gegen Datenverlust abzusichern — vollständig ohne Cloud-Server.

Warum ist PrivaPass sicher?

PrivaPass verarbeitet und speichert alles ausschließlich in Ihrem Browser. Ihr Master-Passwort wird niemals gespeichert, und alle Passwortdaten werden mit starker Kryptografie gesichert, bevor sie in den lokalen Speicher geschrieben werden. Keine Daten werden jemals an externe Server übertragen — Sie sind der einzige, der Zugriff auf Ihren Tresor hat.

Häufig gestellte Fragen

Nein. PrivaPass speichert alle Passwörter ausschließlich in der IndexedDB Ihres Browsers, verschlüsselt mit starker Kryptografie. Das Master-Passwort selbst wird ebenfalls nie gespeichert — es wird nur zur Laufzeit im Arbeitsspeicher gehalten, um den Tresor zu entsperren, und ist nach dem Schließen des Tabs vollständig verschwunden.
Das Master-Passwort wird nirgendwo — weder lokal noch auf einem Server — gespeichert und kann bei Verlust technisch nicht wiederhergestellt werden. Bewahren Sie es unbedingt an einem sicheren, offline-Ort auf (z. B. handschriftlich in einem Safe). Das ist der unvermeidliche Preis einer echten Zero-Knowledge-Architektur, die sicherstellt, dass kein Dritter jemals Zugriff haben kann.
Ja. Nutzen Sie die Exportfunktion, um eine verschlüsselte Backup-Datei auf Ihr Gerät herunterzuladen. Diese Datei kann auf einem anderen Gerät importiert werden, indem Sie sie auswählen und Ihr Master-Passwort eingeben — ohne Server-Synchronisation und ohne Cloud-Speicher.
Zur Überprüfung, ob ein Passwort in bekannten Datenlecks aufgetaucht ist, wird der Have I Been Pwned-Dienst auf eine datenschutzfreundliche Weise abgefragt: Nur die ersten fünf Zeichen eines Einweghashs des Passworts werden übertragen — das eigentliche Passwort verlässt Ihr Gerät nie und wird auf keinem Server gespeichert.
Ja. Da alle Daten in der IndexedDB Ihres Browsers gespeichert sind, werden sie beim Löschen von Browserdaten (Verlauf, Cache, Webseitendaten) ebenfalls gelöscht. Erstellen Sie daher regelmäßig verschlüsselte Backups über die Exportfunktion, bevor Sie Browserdaten bereinigen.

Weiterführende Artikel

Passwortsicherheit: Ihre digitale Verteidigung aufbauen