Passwortstärke-Prüfer
Teste, wie stark ein Passwort ist: Entropie, geschätzte Knackzeit und eine klare Checkliste, alles lokal in deinem Browser geprüft.
Passwortstärke-Prüfer wird geladen… Wenn nichts passiert, aktiviere JavaScript.
Ein Passwortstärke-Prüfer schätzt ab, wie schwer ein Passwort zu erraten wäre. Dieser misst die Entropie des Passworts in Bit, rechnet sie in eine geschätzte Zeit um, die ein Offline-Angreifer zum Knacken bräuchte, und zeigt eine schlichte Checkliste dessen, was gut ist und was fehlt. Er aktualisiert sich, während du tippst, und läuft vollständig in deinem Browser, sodass das geprüfte Passwort nirgendwo übertragen oder gespeichert wird.
Häufig gestellte Fragen
Wird mein Passwort irgendwohin gesendet?
Was bedeutet 'Entropie in Bit'?
Warum ist eine lange Passphrase oft stärker als ein kurzes, komplexes Passwort?
Wie wird die Knackzeit geschätzt?
Der Prüfer sagt, mein Passwort sei stark. Kann ich es bedenkenlos wiederverwenden?
Warum werden Folgen und Wiederholungen bestraft?
Über Passwortstärke-Prüfer
Stärke hängt vor allem von der Entropie ab, nicht vom Abhaken von Kästchen. Die Entropie wird aus der Länge des Passworts und der Größe des Zeichensatzes berechnet, aus dem es schöpft (Kleinbuchstaben fügen 26 Möglichkeiten pro Zeichen hinzu, Großbuchstaben weitere 26, Ziffern 10 und Sonderzeichen etwa 33). Länger schlägt komplexer: Eine lange Passphrase aus gewöhnlichen Wörtern hat in der Regel mehr Entropie und ist weit leichter zu merken als eine kurze Folge zufälliger Sonderzeichen. Der Prüfer bestraft außerdem Schwächen, die die reine Entropie übersieht, etwa ein bekanntes häufiges Passwort zu sein, eine direkte Folge wie 'abc' oder '123' zu enthalten oder dasselbe Zeichen drei- oder mehrmals zu wiederholen.
Die Schätzung der Knackzeit setzt einen realistischen Offline-Angriff von etwa zehn Milliarden Versuchen pro Sekunde gegen einen schnellen Hash voraus. Das ist ein nützlicher Maßstab, aber behandle ihn als Größenordnung und nicht als Versprechen: Ein langsamer Hash wie bcrypt macht Angriffe weit langsamer, während eine geleakte Klartext-Datenbank jedes Passwort wertlos macht. Die stärkste einzelne Gewohnheit ist ein langes, einzigartiges Passwort pro Website, idealerweise von einem Passwort-Manager erzeugt und gespeichert.
Der Passwort-Rat, der sich änderte
Jahrelang drängten offizielle Vorgaben auf Komplexitätsregeln: mindestens ein Großbuchstabe, eine Ziffer, ein Sonderzeichen und ein erzwungener Wechsel alle 90 Tage. 2017 kehrte das US-amerikanische National Institute of Standards and Technology (NIST) vieles davon in seiner Special Publication 800-63B um. Die Forschung zeigte, dass erzwungene Komplexität die Menschen zu vorhersehbaren Mustern wie 'Password1!' drängte und dass der geplante Ablauf sie dazu brachte, schwächere, hochgezählte Varianten zu wählen.
Die moderne Empfehlung ist einfacher: Länge bevorzugen, lange Passphrasen und Leerzeichen zulassen, neue Passwörter gegen Listen bereits geleakter abgleichen und routinemäßige Wechsel nicht mehr erzwingen, sofern es keine Hinweise auf eine Kompromittierung gibt. Der berühmte xkcd-Comic 'correct horse battery staple' brachte die Idee Jahre zuvor auf den Punkt: Vier zufällige gängige Wörter sind für einen Menschen leicht zu merken und für einen Computer schwer zu erraten, und genau darum geht es.