Passwortstärke-Prüfer

// Passwortstärke-Prüfer

Ihr Passwort verlässt niemals Ihren Browser. Die Stärkeanalyse erfolgt vollständig auf Ihrem Gerät. Die Prüfung auf Datenlecks sendet nur einen Teil-Hash — Ihr tatsächliches Passwort wird nie übertragen.

Tipps

Mindestens 12 Zeichen verwenden

Groß-/Kleinbuchstaben, Zahlen und Symbole mischen

Für jedes Konto ein eigenes Passwort verwenden

Sicherer Passwort-Generator →

Wie die Passwortstärke gemessen wird

Die Passwortstärke wird in Bits der Entropie gemessen – eine mathematische Darstellung der Unvorhersehbarkeit eines Passworts. Die Formel berücksichtigt die Größe des Zeichenpools (Kleinbuchstaben, Großbuchstaben, Ziffern, Sonderzeichen), potenziert mit der Länge des Passworts. Eine höhere Entropie bedeutet mehr mögliche Kombinationen, die ein Angreifer ausprobieren muss.

Ein Passwort, das nur Kleinbuchstaben verwendet (26 Zeichen), hat beispielsweise etwa 4,7 Bits Entropie pro Zeichen. Mit Großbuchstaben (insgesamt 52) sind es 5,7 Bits. Kommen Ziffern und Sonderzeichen hinzu (95+ Zeichen), trägt jedes Zeichen etwa 6,6 Bits bei. Ein 16-Zeichen-Passwort mit dem vollständigen Zeichensatz ergibt über 100 Bits Entropie – in der Praxis unknackbar durch Brute-Force.

Have I Been Pwned – Überprüfung

Dieses Tool überprüft Ihr Passwort anhand der Have I Been Pwned-Datenbank mit über 700 Millionen kompromittierten Passwörtern und verwendet dabei k-Anonymität. Es werden nur die ersten 5 Zeichen des SHA-1-Hashes übertragen – das vollständige Passwort verlässt niemals Ihren Browser. Wird eine Übereinstimmung gefunden, ist Ihr Passwort in einem bekannten Datenleck aufgetaucht und sollte sofort geändert werden.

FAQ

Was ist Passwort-Entropie?

Entropie misst die Unvorhersehbarkeit eines Passworts in Bits. Jedes Bit verdoppelt die Anzahl der möglichen Kombinationen. Ein Passwort mit 60 Bits Entropie hat 2^60 (etwa eine Trillion) mögliche Kombinationen, was Brute-Force-Angriffe unpraktikabel macht.

Wie schützt die Datenleck-Überprüfung meine Privatsphäre?

Wir verwenden k-Anonymität: Ihr Passwort wird lokal per SHA-1 gehasht, und nur die ersten 5 Zeichen des Hashes werden an die API gesendet. Der Server gibt alle Hashes zurück, die mit diesen 5 Zeichen beginnen, und der Abgleich erfolgt vollständig in Ihrem Browser.

Ist die „Zeit bis zum Knacken" genau?

Es handelt sich um eine Schätzung, die von 10 Milliarden Versuchen pro Sekunde ausgeht (ein realistischer Wert für moderne GPU-Cluster). Die tatsächliche Knackzeit hängt von der Angriffsmethode, der Hardware und davon ab, ob Ihr Passwort gängigen Mustern entspricht.

Mein Passwort wurde in keinem Datenleck gefunden – ist es sicher?

Nicht unbedingt. Ein nicht gefundenes Passwort bedeutet lediglich, dass es in keinen bekannten öffentlichen Datenlecks aufgetaucht ist. Es könnte dennoch anfällig für Wörterbuchangriffe, Mustererkennung oder gezieltes Raten sein. Streben Sie stets eine hohe Entropie an.