Passwort-Stärke-Tester (Entropie + Knackzeit)

Gib ein Passwort ein (nur im Browser, nie übertragen). Der Tester berechnet Entropie, Zeichensatz-Abdeckung, Wörterbuch-Übereinstimmungsrisiko und zeigt geschätzte Knackzeiten für Offline-GPU-Angriffe, Online-API-Limits und langsame Online-Angriffe.

Passwort

Wird vollständig in deinem Browser getestet. Wird nirgendwo gesendet oder gespeichert.

Wie es funktioniert

Was ‚Entropie' bei Passwörtern bedeutet

Entropie misst Unvorhersehbarkeit in Bits. Ein Passwort mit 30 Bits Entropie braucht im Durchschnitt ~2³⁰ ≈ 1 Milliarde Versuche zum Knacken. 70+ Bits gilt allgemein als stark; 80+ als ausgezeichnet.

Formel: Entropie = Länge × log₂(Zeichensatz-Größe). ‚abcdefgh' (8 Zeichen, nur Kleinbuchstaben) = 8 × log₂(26) ≈ 37,6 Bits. ‚aA1!aaaa' (8 Zeichen, alle Zeichensätze) = 8 × log₂(95) ≈ 52,6 Bits – aber die Knackzeit ist viel schlechter als 52 Bits nahelegen, weil ‚aaaa' ein gängiges Muster ist.

Warum Knackzeiten so stark variieren

Offline-GPU: ein gestohlener Passwort-Hash wird offline angegriffen. Moderne GPUs können 10⁹+ MD5-Hashes pro Sekunde erraten; bcrypt-Hashes nur 10⁴–10⁵/s. Die Schätzung hier verwendet die GPU-schnelle Hash-Annahme.

Online schnell: ein Angreifer, der direkt eine Login-API angreift. Die meisten APIs haben eine Ratenbegrenzung; 1.000 Versuche/Sek. ist eine obere Schätzung für einen schlecht gesicherten Endpunkt.

Online langsam: ein ordentlich gesicherter Endpunkt mit strengen Ratenlimits, Konto-Sperren und CAPTCHA. 100 Versuche/Sek. ist großzügig; viele Systeme erlauben nur 5–10/Minute.

Diese Schätzungen ignorieren reale Faktoren wie Wörterbuch-Angriffe (die gängige Passwörter viel schneller finden als Brute-Force) und Passwort-Wiederverwendung (Knacken eines Lecks hilft beim Knacken anderer).

Was ein starkes Passwort ausmacht

Länge über Komplexität: eine 16-stellige Passphrase wie ‚richtig pferd batterie heftklammer' ist stärker als ein gequältes 8-stelliges ‚P@ssw0rt!'. Die Erkenntnis gilt: 4 zufällige Wörter ergeben ~44 Bits Entropie.

Muster vermeiden: Daten, Namen, ‚123', ‚qwer', wiederholte Zeichen reduzieren alle die echte Entropie unter den Formelwert. Angriffs-Tools enthalten ausgedehnte ‚regelbasierte' Transformationen (z. B. ‚passwort' → ‚P@ssw0rt!').

Passwort-Manager verwenden: Menschen wählen Muster; Manager nicht. Bitwarden, 1Password, KeePass generieren echte Zufallspasswörter pro Seite, mit 16+ Zeichen aus allen Zeichensätzen. Das einzige Passwort, das du dir merken musst, ist das Master-Passwort – und das sollte eine lange, einprägsame Passphrase sein.

Häufige Fragen

›Wird mein Passwort irgendwohin gesendet?

Nein. Alles läuft lokal in deinem Browser. Wir sehen, speichern oder übertragen dein Passwort nicht.

›Warum zeigt mein langes Passwort niedrige Entropie?

Länge ist nicht alles – ‚a' 50-mal wiederholen hat sehr niedrige echte Entropie. Der Rechner verwendet eine einfache Formel, kennzeichnet aber Wiederholungs-/Sequenzmuster. Für beste Ergebnisse: lang, abwechslungsreich, keine Muster.

›Sind diese Knackzeiten genau?

Es sind Schätzungen basierend auf naivem Brute-Force. Echte Cracker verwenden zuerst Wörterbücher, gängige Muster und geleakte Passwort-Datenbanken – ein ‚gängiges' Passwort könnte in Sekunden geknackt werden, trotz hoher Formel-Entropie.

›Muss ich mich um Quantencomputer sorgen?

Langfristig ja – Grovers Algorithmus halbiert die effektiven Bits symmetrischer Verschlüsselung. Für jetzt ist 80+ Bits Entropie komfortabel; 128+ für sehr langfristige Geheimnisse.

›Warum kennzeichnet das Tool ‚P@ssw0rt1', obwohl es alle Zeichensätze hat?

Weil ‚passwort' in Wörterbüchern steht und triviale Ersetzungen (a → @) Teil jedes Cracking-Tools sind. Wirklich zufällige oder Passphrasen-Passwörter verwenden, keine gebräuchlichen Wortsubstitutionen.

›Was ist die Mindestpasswortlänge, die ich verwenden sollte?

8 ist das absolute Minimum (und nur mit allen Zeichensätzen). 12+ wird für die meisten Konten empfohlen. 16+ für wichtige (E-Mail, Banking, Passwort-Manager-Master).

›Spielt Groß-/Kleinschreibung eine Rolle?

Ja – das Hinzufügen von Großbuchstaben verdoppelt die Zeichensatzgröße von 26 auf 52. Ungefähr +1 Bit pro Zeichen. Sinnvolles Mischen (nicht nur erster Buchstabe) lohnt sich.