Wachtwoord Sterkte Checker
Schat de entropie van een wachtwoord en hoe lang het zou duren om dit te brute-forcen. 100% lokaal — er wordt niets geüpload.
Snel antwoord: Schat de entropie van een wachtwoord en hoe lang het zou duren om dit te brute-forcen. 100% lokaal — er wordt niets geüpload.
Laatst bijgewerkt
Veelgestelde vragen
- Hoe meet je de sterkte van een wachtwoord?
- We vermenigvuldigen de lengte van het wachtwoord met log₂ van de grootte van het alfabet dat je hebt gebruikt (26+26+10+32 als je alle vier klassen hebt gebruikt). Het resultaat is entropie in bits — 80+ is sterk, 100+ is onbreekbaar in enige praktische tijdsperiode.
- Wordt mijn wachtwoord ergens naartoe verzonden voor controle?
- Nee. De score wordt berekend in JavaScript op je machine. Het wachtwoord wordt niet naar een server verzonden, niet opgeslagen in een cookie en wordt nooit vergeleken met een online datalekdatabase.
- Wordt er gecontroleerd op HaveIBeenPwned?
- Nee, opzettelijk. Zelfs de k-anonymiteit API vereist het verzenden van een hashprefix; we willen geen netwerkoproep doen vanuit een wachtwoordveld. Gebruik 1Password of HIBP direct als je een datalekcontrole nodig hebt.
- Wat betekent de schatting van de krak-tijd?
- Het is de tijd om de keyspace uit te putten bij 10¹¹ gokken per seconde — een realistische offline GPU-snelheid tegen een enkele iteratie hash. Online aanvallen op rate-limited inlogformulieren zijn miljoenen keren langzamer.
- Waarom scoort mijn lange wachtwoord 'zwak'?
- Omdat het waarschijnlijk slechts één tekenklasse gebruikt. 'aaaaaaaaaaaaaaaa' is 16 tekens maar heeft max ~75 bits entropie; in de praktijk is de entropie bijna nul omdat het allemaal hetzelfde is. Meng in hoofdletters/cijfers/symbolen of gebruik een wachtzin.
- Is de score hetzelfde als zxcvbn?
- Het is een eenvoudigere, snellere heuristiek in dezelfde geest. zxcvbn bestraft bovendien woorden uit het woordenboek, datums en l33tspeak — de scores zijn iets lager voor door mensen gekozen wachtwoorden. Voor willekeurige wachtwoorden komen de twee dicht bij elkaar.
- Wat is een veilige entropiedoelstelling?
- 80 bits is het moderne minimum. 100 bits is ruim voldoende voor alles wat gevoelig is. 128 bits is overkill buiten cryptografisch sleutelmateriaal.
- Werkt dit voor wachtzinnen?
- Deels. De checker gaat ervan uit dat het wachtwoord een willekeurige string is uit een tekenalfabet. Een 6-woord Diceware wachtzin heeft ~77 bits entropie maar zal hier lager scoren omdat we het als individuele tekens beschouwen.
- Waarom is mijn wachtwoord gemarkeerd als algemeen?
- Omdat het voorkomt in de kleine ingebouwde lijst van de 20 meest voorkomende gelekte wachtwoorden (wachtwoord, 123456, qwerty, etc.). Zelfs als het anderszins goed zou scoren, proberen aanvallers deze eerst.
- Moet ik sterke wachtwoorden periodiek wijzigen?
- Moderne richtlijnen (NIST SP 800-63B) zeggen nee — wijzig alleen na een bekende compromis. Periodieke rotatie duwt gebruikers naar zwakkere, voorspelbare wachtwoorden.