BrowserTools
Werbung
Startseite / Validatoren / Passwortstärke-Prüfer

Passwortstärke-Prüfer

Teste, wie stark ein Passwort ist: Entropie, geschätzte Knackzeit und eine klare Checkliste, alles lokal in deinem Browser geprüft.

Passwortstärke-Prüfer wird geladen… Wenn nichts passiert, aktiviere JavaScript.

Ein Passwortstärke-Prüfer schätzt ab, wie schwer ein Passwort zu erraten wäre. Dieser misst die Entropie des Passworts in Bit, rechnet sie in eine geschätzte Zeit um, die ein Offline-Angreifer zum Knacken bräuchte, und zeigt eine schlichte Checkliste dessen, was gut ist und was fehlt. Er aktualisiert sich, während du tippst, und läuft vollständig in deinem Browser, sodass das geprüfte Passwort nirgendwo übertragen oder gespeichert wird.

Häufig gestellte Fragen

Wird mein Passwort irgendwohin gesendet?
Nein. Die gesamte Analyse läuft lokal in deinem Browser mit JavaScript. Dein Passwort wird niemals übertragen, protokolliert oder gespeichert, und genau deshalb sollte ein Stärke-Prüfer clientseitig laufen. Du kannst die Internetverbindung trennen, und er funktioniert weiterhin.
Was bedeutet 'Entropie in Bit'?
Die Entropie misst, wie viele Versuche ein Angreifer im Durchschnitt benötigen würde. Jedes zusätzliche Bit verdoppelt diese Zahl. Sie wird als Passwortlänge multipliziert mit dem Logarithmus zur Basis 2 der Zeichensatzgröße berechnet. Als grobe Faustregel gilt: unter 28 Bit ist sehr schwach, etwa 60 Bit ist vertretbar, und 80 Bit oder mehr ist stark gegen Offline-Angriffe.
Warum ist eine lange Passphrase oft stärker als ein kurzes, komplexes Passwort?
Weil die Länge zuverlässiger zur Entropie beiträgt als Sonderzeichen. Vier oder fünf zufällige Wörter können 60 Bit Entropie überschreiten und dabei leicht zu merken bleiben, während ein kurzes 'P@ss1' sowohl wenig Entropie hat als auch schwer zu merken ist. Die Länge ist der größte Hebel, den du kontrollierst.
Wie wird die Knackzeit geschätzt?
Es wird angenommen, dass ein Offline-Angreifer etwa zehn Milliarden Versuche pro Sekunde gegen einen schnellen Hash unternimmt, und dann wird die Anzahl möglicher Kombinationen durch diese Rate geteilt. Es ist eine Schätzung der Größenordnung. Ein langsamer Passwort-Hash (bcrypt, scrypt, Argon2) macht reale Angriffe dramatisch langsamer, und Online-Dienste begrenzen die Versuche meist durch eine Ratenbegrenzung.
Der Prüfer sagt, mein Passwort sei stark. Kann ich es bedenkenlos wiederverwenden?
Nein. Stärke schützt nur vor dem Erraten. Wenn du ein Passwort wiederverwendest und auch nur eine Website kompromittiert wird, probieren Angreifer dasselbe Passwort überall aus (Credential Stuffing). Verwende für jedes Konto ein einzigartiges Passwort, egal wie stark jedes einzelne ist.
Warum werden Folgen und Wiederholungen bestraft?
Angreifer raten nicht zufällig; sie probieren zuerst Wörterbücher, Tastaturmuster und vorhersehbare Ersetzungen aus. 'abc123' oder 'aaa' haben weit weniger reale Stärke, als ihre bloße Zeichenanzahl vermuten lässt, daher senkt der Prüfer ihre Punktzahl, um abzubilden, wie ein Angreifer tatsächlich vorgehen würde.

Über Passwortstärke-Prüfer

Stärke hängt vor allem von der Entropie ab, nicht vom Abhaken von Kästchen. Die Entropie wird aus der Länge des Passworts und der Größe des Zeichensatzes berechnet, aus dem es schöpft (Kleinbuchstaben fügen 26 Möglichkeiten pro Zeichen hinzu, Großbuchstaben weitere 26, Ziffern 10 und Sonderzeichen etwa 33). Länger schlägt komplexer: Eine lange Passphrase aus gewöhnlichen Wörtern hat in der Regel mehr Entropie und ist weit leichter zu merken als eine kurze Folge zufälliger Sonderzeichen. Der Prüfer bestraft außerdem Schwächen, die die reine Entropie übersieht, etwa ein bekanntes häufiges Passwort zu sein, eine direkte Folge wie 'abc' oder '123' zu enthalten oder dasselbe Zeichen drei- oder mehrmals zu wiederholen.

Die Schätzung der Knackzeit setzt einen realistischen Offline-Angriff von etwa zehn Milliarden Versuchen pro Sekunde gegen einen schnellen Hash voraus. Das ist ein nützlicher Maßstab, aber behandle ihn als Größenordnung und nicht als Versprechen: Ein langsamer Hash wie bcrypt macht Angriffe weit langsamer, während eine geleakte Klartext-Datenbank jedes Passwort wertlos macht. Die stärkste einzelne Gewohnheit ist ein langes, einzigartiges Passwort pro Website, idealerweise von einem Passwort-Manager erzeugt und gespeichert.

Der Passwort-Rat, der sich änderte

Jahrelang drängten offizielle Vorgaben auf Komplexitätsregeln: mindestens ein Großbuchstabe, eine Ziffer, ein Sonderzeichen und ein erzwungener Wechsel alle 90 Tage. 2017 kehrte das US-amerikanische National Institute of Standards and Technology (NIST) vieles davon in seiner Special Publication 800-63B um. Die Forschung zeigte, dass erzwungene Komplexität die Menschen zu vorhersehbaren Mustern wie 'Password1!' drängte und dass der geplante Ablauf sie dazu brachte, schwächere, hochgezählte Varianten zu wählen.

Die moderne Empfehlung ist einfacher: Länge bevorzugen, lange Passphrasen und Leerzeichen zulassen, neue Passwörter gegen Listen bereits geleakter abgleichen und routinemäßige Wechsel nicht mehr erzwingen, sofern es keine Hinweise auf eine Kompromittierung gibt. Der berühmte xkcd-Comic 'correct horse battery staple' brachte die Idee Jahre zuvor auf den Punkt: Vier zufällige gängige Wörter sind für einen Menschen leicht zu merken und für einen Computer schwer zu erraten, und genau darum geht es.

Werbung
Werbung
Werbung