Passwortstärkeprüfer
Schätzen Sie die Entropie eines Passworts und wie lange es dauern würde, es zu knacken. 100% lokal – nichts wird hochgeladen.
Kurze Antwort: Schätzen Sie die Entropie eines Passworts und wie lange es dauern würde, es zu knacken. 100% lokal – nichts wird hochgeladen.
Zuletzt aktualisiert
Häufig gestellte Fragen
- Wie messen Sie die Passwortstärke?
- Wir multiplizieren die Länge des Passworts mit log₂ der Größe des verwendeten Alphabets (26+26+10+32, wenn Sie alle vier Klassen verwendet haben). Das Ergebnis ist Entropie in Bit — 80+ ist stark, 100+ ist in einem praktischen Zeitrahmen unknackbar.
- Wird mein Passwort irgendwohin geschickt, um es zu überprüfen?
- Nein. Der Score wird in JavaScript auf Ihrem Computer berechnet. Das Passwort wird nicht an einen Server gesendet, nicht in einem Cookie gespeichert und niemals mit einer Online-Datenbank von Sicherheitsverletzungen verglichen.
- Überprüfen Sie HaveIBeenPwned?
- Nein, absichtlich. Selbst die k-Anonymitäts-API erfordert das Senden eines Hash-Präfixes; wir möchten von einem Passwortfeld aus keinen Netzwerkaufruf machen. Verwenden Sie 1Password oder HIBP direkt, wenn Sie eine Sicherheitsüberprüfung benötigen.
- Was bedeutet die Schätzung der Knackzeit?
- Es ist die Zeit, um den Schlüsselraum bei 10¹¹ Versuchen pro Sekunde zu erschöpfen — eine realistische Offline-GPU-Rate für einen einzelnen Iterations-Hash. Online-Angriffe gegen rate-limierte Login-Formulare sind Millionen von Malen langsamer.
- Warum hat mein langes Passwort die Bewertung 'schwach'?
- Weil es wahrscheinlich nur eine Zeichenklasse verwendet. 'aaaaaaaaaaaaaaaa' sind 16 Zeichen, aber nur ~75 Bits Entropie maximal; in der Praxis ist die Entropie nahezu null, da es alles gleich ist. Mischen Sie Großbuchstaben/Zahlen/Symbole oder verwenden Sie eine Passphrase.
- Ist der Score derselbe wie zxcvbn?
- Es ist eine einfachere, schnellere Heuristik im gleichen Geist. zxcvbn bestraft zusätzlich Wörter aus dem Wörterbuch, Daten und l33tspeak – ihre Scores sind etwas niedriger für von Menschen gewählte Passwörter. Bei zufälligen Passwörtern stimmen die beiden eng überein.
- Was ist ein sicheres Entropieziel?
- 80 Bits sind das moderne Minimum. 100 Bits sind ausreichend für alles Sensible. 128 Bits sind übertrieben außerhalb kryptographischer Schlüsselmaterialien.
- Funktioniert das auch für Passphrasen?
- Teilweise. Der Checker geht davon aus, dass das Passwort eine zufällige Zeichenfolge aus einem Zeichenalphabet ist. Eine 6-Wort-Diceware-Passphrase hat ~77 Bits Entropie, wird hier jedoch niedriger bewertet, weil wir sie so bewerten, als hätten Sie einzelne Zeichen gewählt.
- Warum wird mein Passwort als häufig markiert?
- Weil es in der kleinen integrierten Liste der 20 häufigsten kompromittierten Passwörter erscheint (Passwort, 123456, qwerty usw.). Selbst wenn es ansonsten gut abschneiden würde, versuchen Angreifer diese zuerst.
- Sollte ich starke Passwörter regelmäßig ändern?
- Moderne Richtlinien (NIST SP 800-63B) besagen nein — nur ändern, wenn ein bekannter Kompromiss vorliegt. Regelmäßige Änderungen drängen Benutzer zu schwächeren, vorhersehbaren Passwörtern.