Passwortstärke-Prüfer
Teste, wie stark ein Passwort ist, sieh seine Entropie und geschätzte Knackzeit und bekomme Schwächen in klarem Deutsch — alles in deinem Browser.
Der Passwortstärke-Prüfer analysiert dein Passwort vollständig in deinem Browser. Was auch immer du in das Feld tippst, bleibt auf deinem Gerät — es wird nie hochgeladen, protokolliert oder an ArrayKit gesendet.
Passwort-Generator öffnen
Über Passwortstärke-Prüfer
Der Passwortstärke-Prüfer misst, wie schwer ein Passwort zu erraten wäre, und erklärt, warum. Tippe oder füge eins ein, und er berechnet einen Stärke-Score von 0 bis 4, die geschätzte Entropie in Bit und eine grobe Offline-Knackzeit, schlüsselt dann auf, welche Zeichenklassen du verwendet hast — Kleinbuchstaben, Großbuchstaben, Ziffern und Symbole. Er markiert auch konkrete Schwächen: Passwörter, die zu kurz sind, nur eine Zeichenart nutzen, zu einem sehr häufigen oder geleakten Passwort passen oder wiederholte Zeichen, aufeinanderfolgende Läufe wie abcd oder Tastatur-Muster wie qwerty enthalten. Ein maskiertes Feld mit einem Anzeige-Schalter hält dein Passwort verborgen, während du arbeitest. Gebaut für alle, die ein Konto oder ein Anmeldeformular härten. Jede Berechnung läuft auf deinem Gerät — das Passwort verlässt den Browser nie.
Funktionen
- Bewertet jedes Passwort beim Tippen von 0 (sehr schwach) bis 4 (sehr stark)
- Schätzt die Entropie in Bit aus dem Zeichenpool und der Länge
- Zeigt eine grobe Offline-Knackzeit-Schätzung in klarer Sprache
- Schlüsselt die Zusammensetzung auf: genutzte Kleinbuchstaben, Großbuchstaben, Ziffern und Symbole
- Markiert zu kurze Passwörter und Passwörter mit nur einer Zeichenklasse
- Erkennt häufige oder geleakte Passwörter, Wiederholungen, Sequenzen und Tastatur-Muster
- Maskierte Eingabe mit einem Anzeige-Schalter, sodass das Passwort verborgen bleibt
- Läuft vollständig in deinem Browser — das Passwort wird nie hochgeladen
So verwendest du Passwortstärke-Prüfer
- Tippe oder füge das Passwort in das maskierte Feld ein
- Lies den Stärke-Score, die Entropie in Bit und die geschätzte Knackzeit
- Nutze Anzeigen, um zu bestätigen, dass du das Passwort korrekt getippt hast
- Behebe jede unter "Was wir gefunden haben" gelistete Schwäche und prüfe erneut
Beispiel
Eingabe
password
Ausgabe
Score 0 / Very weak · flagged: very common password · crack time: instantly
"password" steht auf jeder Leak-Liste, sodass es sofort einem Wörterbuch-Angriff erliegt.
Häufige Fehler & Fehlerbehebung
- Ein langes Passwort erzielt trotzdem einen niedrigen Score. — Länge allein reicht nicht. Prüfe die Liste "Was wir gefunden haben" — ein häufiges Wort, ein Tastatur-Muster wie qwerty oder ein wiederholter Lauf kann den Score niedrig halten. Mische Zeichenarten und vermeide vorhersehbare Muster.
- Die Entropie sieht hoch aus, aber der Score ist gedeckelt. — Die Entropie geht von zufälligen Zeichen aus. Passt das Passwort zu einem häufigen oder nutzt nur eine Zeichenklasse, wird der Score bewusst gesenkt, weil ein echter Angreifer es nicht blind brute-forcen würde.
- Die Knackzeit scheint zu optimistisch oder zu pessimistisch. — Es ist eine grobe Schätzung, die einen schnellen Offline-Angriff mit etwa 10 Milliarden Rateversuchen pro Sekunde gegen einen schwachen Hash annimmt. Langsame, gesalzene Hashes wie bcrypt dauern weit länger; ein geleakter Klartext dauert keine.
Häufig gestellte Fragen
- Wie bewertet der Passwortstärke-Prüfer ein Passwort?
- Er kombiniert die geschätzte Entropie aus der Länge und dem Zeichenpool deines Passworts mit Abzügen für strukturelle Schwächen — häufige Passwörter, einzelne Zeichenklassen, Wiederholungen, Sequenzen und Tastatur-Muster — um einen Score von 0 bis 4 und ein Ein-Wort-Urteil zu erzeugen.
- Was bedeutet die Entropie in Bit hier eigentlich?
- Entropie in Bit ist grob log2 der Anzahl der Rateversuche, die nötig sind, um das Passwort zu brute-forcen: Länge mal log2 des Zeichenpools. Mehr Bit bedeutet exponentiell mehr Möglichkeiten, sodass 60+ Bit deutlich stärker ist als 30.
- Wie wird die Knackzeit-Schätzung berechnet?
- Sie teilt die durchschnittliche Anzahl der Rateversuche (die Hälfte des von der Entropie implizierten Suchraums) durch eine angenommene Angreifer-Geschwindigkeit von etwa 10 Milliarden Rateversuchen pro Sekunde und rundet dann auf eine lesbare Einheit wie Stunden, Jahre oder Jahrhunderte.
- Welche schwachen Muster erkennt dieser Passwort-Prüfer?
- Er markiert Passwörter, die zu kurz sind, nur eine Zeichenart nutzen, zu einer kleinen eingebetteten Liste sehr häufiger Passwörter passen oder wiederholte Läufe, auf- oder absteigende Sequenzen wie abcd und gerade Tastatur-Muster wie qwerty oder asdf enthalten.
- Ist es sicher, ein echtes Passwort in diesen Prüfer zu tippen?
- Die Analyse geschieht vollständig in deinem Browser und das Passwort wird nirgendwo hingesendet, sodass das Testen sicher ist. Vermeide es dennoch als allgemeine Gewohnheit, ein Live-Produktionspasswort in eine Webseite einzufügen, der du nicht voll vertraust.
- Garantiert ein hoher Score hier, dass mein Konto sicher ist?
- Nein. Ein starker Score bedeutet, dass das Passwort selbst schwer zu erraten ist, aber die Kontosicherheit hängt auch von einzigartigen Passwörtern pro Site, der Leak-Exposition und der Zwei-Faktor-Authentifizierung ab. Behandle den Score als Orientierung, nicht als Garantie.
Verwandte Tools
- Passwort-Generator — Erzeuge starke, zufällige Passwörter mit Stärkemesser (kryptografisch sicher).
- Hash-Generator — SHA-256 / SHA-1 / SHA-384 / SHA-512 über die Web-Crypto-API.
- Bcrypt-Generator — Ein Passwort mit bcrypt hashen oder gegen einen bestehenden Hash prüfen.
- TOTP-/2FA-Generator — Erzeuge zeitbasierte Einmalpasswörter (2FA-Codes) aus einem Base32-Secret.
- UUID-Generator — Erzeuge einen oder mehrere zufällige UUID-v4-Werte.
- HMAC-Generator — Eine Nachricht mit einem geheimen Schlüssel per SHA-256 und mehr signieren.
Alle ArrayKit-Tools