Passwortstärke-Prüfer
Passwort-Entropie, geschätzte Knackzeit und Schwachstellenmuster analysieren.
Wie Passwortstärke gemessen wird
Traditionelle Passwort-Messgeräte prüfen auf Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen. Dieser Ansatz ist grundlegend fehlerhaft, denn 'P@ssw0rd!' besteht jede Regel, erscheint aber in den meisten Listen geleakter Passwörter. Echte Angreifer nutzen Wörterbücher, Musterdatenbanken und l33t-Substitutionstabellen statt Zeichenklassen-Regeln.
zxcvbn, die Bibliothek hinter diesem Tool, wurde vom Sicherheitsteam von Dropbox entwickelt und verfolgt einen anderen Ansatz. Sie zerlegt ein Passwort in die Muster, die ein Angreifer tatsächlich ausnutzen würde: Wörterbuchwörter, Tastatursequenzen ('qwertz'), Daten, wiederholte Sequenzen und gängige Ersetzungen. Dann wird die Anzahl der nötigen Versuche geschätzt und in eine Knackzeit bei realistischen Angriffsgeschwindigkeiten umgerechnet.
Die Entropie, angezeigt in Bit, repräsentiert die theoretische Zufälligkeit Ihres Passworts. Höhere Entropie bedeutet mehr mögliche Kombinationen, die ein Angreifer durchprobieren muss. Ein wirklich zufälliges 20-Zeichen-Passwort aus einem Passwort-Manager hat typischerweise 120+ Bit Entropie, während das durchschnittliche von Nutzern gewählte Passwort 20-40 Bit hat. Die Lücke zwischen diesen beiden Zahlen erklärt, warum Sicherheitsexperten konsequent Passwort-Manager empfehlen.
Häufig gestellte Fragen
Wie funktioniert dieser Passwort-Prüfer?
Dieses Tool verwendet zxcvbn, einen Open-Source-Passwortstärke-Schätzer von Dropbox. Statt sich auf einfache Regeln wie Mindestlänge oder Sonderzeichen zu verlassen, analysiert zxcvbn Ihr Passwort auf gängige Muster wie Wörterbuchwörter, Tastatursequenzen, Wiederholungen, l33t-Ersetzungen und bekannte geleakte Passwörter. Es schätzt, wie lange ein realer Angreifer zum Knacken benötigen würde.
Wird mein Passwort an einen Server gesendet?
Nein. Die gesamte Analyse läuft in Ihrem Browser mit JavaScript. Ihr Passwort verlässt nie Ihr Gerät, wird nie über das Netzwerk übertragen und wird nie in Cookies, LocalStorage oder URL-Parametern gespeichert. Sie können dies überprüfen, indem Sie das Internet trennen und das Tool offline nutzen.
Was ist ein guter Passwortstärke-Wert?
Wert 4 (sehr stark) bedeutet eine geschätzte Knackzeit von über 10 Jahren selbst mit spezieller Hardware. Wert 3 (stark) bedeutet Monate bis Jahre. Alles unter Wert 3 sollte verbessert werden. Beachten Sie, dass zxcvbn reale Angriffsmuster bewertet, sodass ein Wert von 4 deutlich zuverlässiger ist als das Bestehen willkürlicher Komplexitätsregeln.
Warum ist 'Tr0ub4dor&3' kein starkes Passwort?
Häufige Buchstaben-Zahlen-Ersetzungen (a zu @, o zu 0, e zu 3) sind Passwort-Knackern bekannt und gehören zu den ersten Mustern, die sie ausprobieren. Der xkcd-Comic #936 hat dies perfekt illustriert: Trotz des komplexen Aussehens hat 'Tr0ub4dor&3' nur etwa 28 Bit Entropie, während eine Passphrase wie 'correct horse battery staple' etwa 44 Bit hat und leichter zu merken ist.
Was macht ein Passwort stark?
Die Länge ist am wichtigsten. Ein Passwort mit 16+ Zeichen aus zufälligen Wörtern (eine Passphrase) ist stark und einprägsam zugleich. Vermeiden Sie einzelne Wörterbuchwörter, persönliche Informationen (Namen, Geburtstage), Tastaturmuster (qwertz, 12345) und gängige Ersetzungen. Ein wirklich zufälliges Passwort aus einem Passwort-Manager ist der Goldstandard, aber eine Passphrase aus 4-5 Wörtern ist eine praktische Alternative.