Security
Passwortstärken-Analysator
Der Passwortstärken-Analysator bewertet die Sicherheit eines Passworts anhand kryptografischer Metriken: Entropie in Bit, effektive Zeichensatzmenge, geschätzte Knackzeit bei verschiedenen Angriffsszenarien und Musteranalyse. Das Tool arbeitet vollständig clientseitig im Browser – dein Passwort wird zu keinem Zeitpunkt übertragen oder gespeichert. Neben der Analyse gibt das Tool konkrete Verbesserungsempfehlungen.
Wie wird Passwortstärke gemessen?
Die Stärke eines Passworts wird primär durch seine Entropie gemessen: Entropie (Bit) = Länge × log2(Zeichensatzmenge). Ein Passwort mit 12 Zeichen aus einem Zeichensatz von 94 Symbolen hat etwa 78 Bit Entropie. Zusätzlich fließen Mustererkennung (Wörterbucheinträge, Tastaturmuster wie 'qwerty', Datumsformate, Wiederholungen), die Verwendung bekannter Passwortlisten und die Zeichensatzdiversität in die Bewertung ein. Moderne Analysatoren wie zxcvbn schätzen die Stärke realistischer als reine Entropieberechnungen, da sie tatsächliches Angreifer-Verhalten simulieren.
Wie werden Knackzeiten berechnet?
Die geschätzte Knackzeit basiert auf der Anzahl der notwendigen Rateversuchs-Kombinationen dividiert durch die Angriffsgeschwindigkeit des angenommenen Angreifers. Typische Szenarien: Online-Angriff mit Ratenbegrenzung (1.000 Versuche/Sekunde), Online-Angriff ohne Ratenbegrenzung (100.000/Sekunde), Offline-Angriff auf MD5-Hashes (10 Milliarden/Sekunde mit GPU), Offline-Angriff auf bcrypt-Hashes (10.000/Sekunde). Passwortmuster wie '12345678' oder 'password' werden durch Wörterbuchangriffe mit wenigen Versuchen geknackt, unabhängig von ihrer scheinbaren Komplexität.
Typische Anwendungsfälle
- Prüfen eigener Passwörter auf Stärke vor der Verwendung in kritischen Systemen
- Implementierung von Passwortrichtlinien in eigenen Anwendungen evaluieren und testen
- Nutzer über die Schwäche einfacher Passwörter aufklären (Awareness-Training)
- Vergleichen, wie unterschiedliche Passwortstrategien die Entropie beeinflussen
Schritt-für-Schritt-Anleitung
- Schritt 1: Passwort in das Eingabefeld eingeben (wird nicht gespeichert oder übertragen)
- Schritt 2: Entropiewert, Zeichensatzanalyse und erkannte Muster im Ergebnis ablesen
- Schritt 3: Geschätzte Knackzeiten für verschiedene Angriffsszenarien vergleichen
- Schritt 4: Empfehlungen zur Verbesserung des Passworts lesen und umsetzen
Beispiel
Eingabe
Passwort: 'Sommer2024!'
Ausgabe
Entropie: ca. 35 Bit (schwach) – Wörterbuchwort + Jahreszahl erkannt. Knackzeit: Sekunden bei Offline-Angriff.
Tipps & Hinweise
- Tipp: Vermeidet Wörter aus dem Wörterbuch, Tastaturmuster (qwerty, 123456) und persönliche Informationen – Angreifer kennen diese Muster.
- Tipp: Passphrasen aus zufälligen Wörtern (z. B. Diceware: 'korrekt-Pferd-Batterie-Klammer') sind oft stärker und leichter zu merken als kurze, komplexe Passwörter.
- Tipp: Ein 6-stelliges Passwort ist selbst mit Sonderzeichen schwach – moderne GPUs testen Milliarden von Kombinationen pro Sekunde.
Häufige Fragen
Warum zeigt das Tool mein Passwort als schwach an, obwohl es Sonderzeichen enthält?
Sonderzeichen allein machen ein Passwort nicht stark. 'P@ssw0rd!' ist trotz Sonderzeichen extrem schwach, weil es einem bekannten Muster folgt, das in allen Wörterbuchlisten enthalten ist. Die Stärke hängt primär von echter Zufälligkeit und Länge ab, nicht von der bloßen Verwendung bestimmter Zeichenklassen.
Wird mein eingegebenes Passwort gespeichert oder übertragen?
Nein. Die Analyse läuft vollständig im Browser (clientseitig). Das Passwort verlässt niemals deinen Browser und wird nach dem Schließen des Tabs nicht gespeichert.
Was ist der Unterschied zwischen Entropie und Passwortstärke?
Entropie misst die theoretische Anzahl der Rateversuche bei einer Gleichverteilung der Zeichen. Passwortstärke berücksichtigt zusätzlich realistische Angriffsmuster: Wörterbuchangriffe, Markov-Ketten und hybride Methoden. Ein Passwort mit hoher Entropie aber erkennbarem Muster (z. B. ein Wörterbuchbegriff mit Zahl) ist praktisch schwächer als die Entropie vermuten lässt.
Passwortstärken-Analysator
Ermittle die Stärke deines Passworts mit diesem Client-seitigen Passwortstärken-Analysator und Tool zur Schätzung der Knackzeit.
Tool öffnen