Was ist Passwortstärke-Prüfer?

Ein Passwort-Stärke-Checker analysiert Ihr Passwort in Echtzeit und bewertet dessen Widerstandsfähigkeit gegen Knackversuche. Er prüft auf gängige Muster, Wörterbuchwörter und Entropie, um Ihnen eine genaue Stärkebewertung zu liefern. Nutzen Sie ihn, um sicherzustellen, dass Ihre Passwörter modernen Sicherheitsstandards entsprechen.

Die Analyse läuft mit zxcvbn, derselben Bibliothek, die Dropbox als Open Source veröffentlicht hat. Sie kennt 30.000 häufige Passwörter, Leak-Datenbanken, englische Wörterbücher und Nachnamenlisten sowie vorhersehbare Muster wie Daten, Tastaturpfade und l33t-Substitutionen. Bewertung 0-4 plus Crack-Zeiten in vier Angriffsszenarien, vom gedrosselten Online-Angriff bis zur Offline-GPU-Farm.

Anleitung

1. Geben Sie Ihr Passwort in das Eingabefeld ein oder fügen Sie es ein, um die Analyse zu starten
2. Sehen Sie sich die Stärkebewertung, die geschätzte Knackdauer und spezifisches Feedback zu Schwachstellen an
3. Verbessern Sie Ihr Passwort anhand der Vorschläge, bis Sie eine starke oder sehr starke Bewertung erreichen

Wann verwenden

• Ein gut merkbares Passwort prüfen, bevor man es als Master für den Passwortmanager nimmt.
• Die Passwortrichtlinie am Arbeitsplatz testen: Schafft 'Firma2024!' wirklich die Hürde?
• Einem weniger technikaffinen Familienmitglied zeigen, warum der Name des Haustiers ein schwaches Passwort ist.

Ergebnis

Geben Sie 'Tr0ub4dor&3' ein und sehen Sie, dass es als mittelmäßig bewertet wird — obwohl gemischte Zeichen verwendet werden, folgt es einem vorhersehbaren Ersetzungsmuster. Vergleichen Sie es mit einer zufälligen Passphrase wie 'correct-horse-battery-staple', die trotz ausschließlich kleiner Buchstaben und Bindestriche eine höhere Bewertung erhält.

Häufige Fragen

Was bedeutet jede Stärkebewertung von 0 bis 4?

0 wird in unter einer Sekunde von jeder Online-Attacke geknackt. 1 hält Stunden online oder Sekunden offline. 2 widersteht online, fällt offline. 3 ist solide. 4 braucht selbst gegen eine GPU-Farm mit 10 Milliarden Versuchen pro Sekunde Jahrhunderte.

Warum schneidet 'Tr0ub4dor&3' schlechter ab als 'correct horse battery staple'?

Das erste folgt einem bekannten Muster: Wörterbuchwort + vorhersehbare Substitutionen (0 für o, 4 für a) + Sonderzeichen + Ziffer. Die Regel-Listen der Angreifer probieren genau diese Kombinationen zuerst. Vier zufällige Wörter haben viel mehr Entropie, weil die Zahl möglicher Kombinationen drastisch höher liegt.

Verlässt mein Passwort beim Tippen hier mein Gerät?

Die Stärke-Bewertung läuft vollständig auf Ihrem Gerät, im JavaScript dieser Seite, und sendet beim Tippen keine Netzanfrage. Die einzige optionale Ausnahme ist die Leak-Prüfung: Wenn Sie sie auslösen, werden nur die ersten 5 Zeichen des SHA-1-Hashes des Passworts gesendet (k-anonymity), das Passwort selbst verlässt das Eingabefeld also nie. Beim Schließen des Tabs bleibt nichts zurück.

Die Warnung sagt, mein Passwort sei in einem Leak. Stimmt das?

Es gibt zwei Ebenen. Die sofortige Warnung stammt aus zxcvbns eingebauter Liste der 30.000 meistgenutzten Passwörter aus Leaks wie RockYou und wird offline abgeglichen. Für eine Live-Antwort tippen Sie auf Auf Leaks prüfen: Es fragt die HaveIBeenPwned-Datenbank per k-anonymity ab (sendet nur die ersten 5 Hash-Zeichen) und zeigt genau, wie oft das Passwort in echten Leaks aufgetaucht ist.

Auf welches Crack-Time-Szenario sollte ich optimieren?

Für die meisten Konten ist 'offline slow hashing' die relevante Zahl, denn das passiert, wenn eine Datenbank leakt und Angreifer hashcat starten. Ziel: mindestens 'Jahrhunderte', was meist Stufe 3-4 bei 12+ Zeichen entspricht.

Ähnliche Tools