Skip to main content

Password Strength Checker

Check password strength with entropy calculation, pattern detection and common password matching.

Geprüft von · Zuletzt geprüft

Ein bereits vorhandenes Passwort diagnostizieren

  1. Füge das Passwort ein oder tippe es in das Eingabefeld. Die Stärkeanalyse läuft bei jedem Tastendruck; es gibt keine "Analysieren"-Schaltfläche zum Klicken.
  2. Lese den farbigen Stärkebalken. Er reicht von rot (Sehr Schwach) über orange, gelb, hellgrün bis zu tiefem Grün (Sehr Stark). Das Etikett entspricht einer numerischen Bewertung, keinem Marketing-Adjektiv.
  3. Scan die Checkliste darunter. Jedes Element ist ein spezifisches Signal, das der Prüfer gefunden hat, positiv oder negativ: "12+ Zeichen", "Nur Zahlen (sehr vorhersehbar)", "Sequenzielle Zeichen erkannt", "Das ist ein häufig verwendetes Passwort".
  4. Beobachte die Entropie-Anzeige. Sie zeigt Shannon-Entropie in Bits, basierend auf der Pool-Größe, die aus den Zeichenklassen in der Eingabe abgeleitet wurde.
  5. Behebe die spezifischen Probleme, die die Checkliste markiert, und tippe dann die korrigierte Version. Verbesser nicht durch Hinzufügen eines einzelnen "!" - das Werkzeug bewertet "Password1!" fast identisch mit "Password1".

Was das Scoring tatsächlich prüft

Der Prüfer führt vier Regex-Tests für Zeichenklassen durch: /[a-z]/, /[A-Z]/, /\\d/, /[^a-zA-Z0-9]/. Er schichtet Längen-Tiers bei 8, 12 und 16 Zeichen und zieht Punkte ab für sequenzielle Präfixe (012, abc, etc.), Wiederholungs-Zeichen-Läufe (/(.)\\1{2,}/) und eine Blockliste von 25 Verstoß-Passwörtern (password, 123456, qwerty, iloveyou, letmein, dragon). Entropie ist length * log2(poolSize). Dieser strukturelle Ansatz ist schneller als zxcvbn (Mikrosekunden, keine 600-KB-Wortliste) auf Kosten des Verfehlens von Mustern wie "Tr0ub4dor&3". Die gesamte Analyse erfolgt synchron im Eingabe-Handler; kein Fetch, kein Debounce, kein Server-Roundtrip.

Wann du eine Diagnose und keinen Generator benötigst

  • Auditieren einer geerbten Passwortrichtlinie bei einem neuen Job - die Beispielpasswörter einfügen, die dein Team in der Dokumentation teilt, um zu sehen, welche objektiv schwach sind.
  • Einem nicht-technischen Familienmitglied, das immer seinen Haustiernamen und ein Jahr verwendet, live zeigen, warum das schlecht bewertet.
  • Validieren, dass ein Passwort, das du jahrelang auswendig gelernt hast, noch sicher genug ist, auf niedrig-risikoreichen Konten zu verwenden, oder ob du es in den Vault zurückziehen solltest.
  • Testen, ob eine Passphrase, die du aus einprägsamen Wörtern gebaut hast (Vier-Wort-Diceware-Stil), tatsächlich das starke Band trotz fehlender Symbole erreicht.
  • Einem Produktmanager demonstrieren, warum die Regel "Passwort muss ein Sonderzeichen enthalten" nicht wesentlich hilft, indem gleich-entropische Beispiele mit und ohne Symbole gezeigt werden.
  • Ein anderswo generiertes Passwort (ein Vault-Migrations-Export, der Vorschlag eines Kollegen) auf offensichtliche Warnsignale prüfen, bevor man es übernimmt.

Wo Struktur-Prüfer falsch liegen

Jeder lokale Stärke-Prüfer hat blinde Flecken. Dieser wird correcthorsebatterystaple (die berühmte xkcd-Passphrase, etwa 44 Bits echter Entropie aus einer Vier-Wort-Diceware-artigen Auswahl) als nur "fair" bewerten, weil sie nur Kleinbuchstaben enthält und keine Symbole hat, obwohl sie Offline-Cracking besser widersteht als P@ssw0rd!, das das Werkzeug korrekt als schwach markiert. Leet-Speak-Substitutionen, die Regexes täuschen, bestehen die Vielfalts-Tests, werden aber trivial von Hashcats Regelmotor erweitert. Der Prüfer kann auch nicht wissen, ob dein Passwort bereits durchgesickert ist; die Have-I-Been-Pwned (HIBP)-Bereichs-API würde einen Netzwerkabruf benötigen. Wenn dein Passwort auf der HIBP-Liste steht, ist es unabhängig von der Struktur schwach - der RockYou-2012-Verstoß allein enthält 32 Millionen echte Passwörter, die hashcat gegen einen gestohlenen Hash mit Hunderten von Millionen Versuchen pro Sekunde testen kann. Unicode-Homoglyphen, Tastatur-Walks (qwertyuiop) und themenbasierte Muster (ilovemoney2024) werden nur schwach negativ bewertet. Das Werkzeug ist ein Filter, kein Beweis.

Was "Stark" tatsächlich in Bits bedeutet

Der Stärkebalken ordnet Shannon-Entropie-Schwellenwerten aus NIST SP 800-63B-Leitfaden zu. Unter 28 Bits ist trivial knackbar (Sekunden auf einer einzelnen GPU), 28-45 ist schwach (Minuten bis Stunden), 45-60 fair (Tage bis Wochen), 60-80 stark (Jahre für einen gut finanzierten Angreifer), 80+ sehr stark. Diese setzten langsames Hashing (bcrypt, Argon2) voraus; mit ungesalzenem SHA-1 wie LinkedIn 2012 verschiebt sich jedes Band um 15-20 Bits nach unten, weil GPUs Milliarden von Hashes pro Sekunde testen. Die HIBP-Datenbank (14+ Milliarden kompromittierte Anmeldedaten) ist der Sicherheitsstopp: 80 Bits Entropie, die zufällig in HIBP erscheinen, haben null effektive Entropie gegen einen Angreifer, der die Wortliste hat.

Vergleich zu zxcvbn und Have I Been Pwned

zxcvbn, Dropboxs Stärke-Schätzer, ist der Goldstandard für Struktur-Prüfung. Es tokenisiert das Passwort, schlägt Token in Wörterbüchern nach, modelliert L33t-Substitutionen, erkennt Tastaturmuster und schätzt Versuche-bis-Crack. Es ist genauer, wird aber mit einem 700-KB-Bundle geliefert. Haveibeenpwned.coms Bereichs-API ist die ergänzende Prüfung: sende die ersten 5 Hex-Zeichen des SHA-1 deines Passworts, empfange übereinstimmende vollständige Hashes, prüfe lokal. Zusammen ist zxcvbn plus HIBP-Bereichsabfrage die stärkste Kombination in 2026. Dieses Werkzeug ist das leichtgewichtige Mittelfeld: kein Netzwerk, kein Wortlisten-Download, sofortiges Feedback, erkennt die offensichtlichen Probleme. Für ein Website-Anmeldeformular kombiniere es mit serverseitigem HIBP; für den Unterricht, warum ein Passwort schlecht ist, ist das normalerweise genug.

Häufig gestellte Fragen

Warum bewertet der Prüfer meine lange Passphrase nur als "fair"?

Der Struktur-Prüfer belohnt Zeichenklassenvielfalt stark. Eine Vier-Wort-Kleinbuchstaben-Passphrase wie "correcthorsebatterystaple" hat etwa 44 Bits echter Entropie (aus der Wortauswahl, nicht der Zeichenzusammensetzung), aber die Regex-basierte Pool-Größenberechnung sieht nur Kleinbuchstaben und berechnet Entropie als Länge mal log2(26), was die tatsächliche Rateschwerigkeit unterschätzt. Das ist eine bekannte Einschränkung von Struktur-Prüfern. Werkzeuge wie zxcvbn, die Wörterbücher tokenisieren, würden es viel höher bewerten. Wenn deine Website Passphrasen erlaubt, lass dich von diesem Werkzeug nicht dazu bringen, Symbole hinzuzufügen, die du vergessen wirst.

Wird mein Passwort durch das Eingeben hier irgendwo durchgesickert?

Nein. Der Prüfer läuft im Eingabe-Ereignis-Handler ohne Netzwerk- Nebeneffekte. Es gibt keinen Fetch-Aufruf, keine Have-I-Been-Pwned- Suche, keine Telemetrie, kein Analytics-Ereignis, das Passwortzeichen enthält. Du kannst die Netzwerk-Registerkarte in DevTools öffnen, während du tippst, und bestätigen, dass keine Anfragen feuern. Das bedeutet auch, dass das Werkzeug nicht feststellen kann, ob dein Passwort in HIBP ist - dafür verwende direkt haveibeenpwned.com/Passwords, das k-Anonymität verwendet, um nur die ersten 5 Hex-Zeichen seines SHA-1 zu senden.

Wie wird die Shannon-Entropie hier berechnet?

Shannon-Entropie wird als Passwortlänge multipliziert mit log2 der abgeleiteten Pool-Größe berechnet. Die Pool-Größe wird aus erkannten Zeichenklassen summiert: 26 für Kleinbuchstaben, 26 für Großbuchstaben, 10 für Ziffern, plus die Anzahl der übereinstimmenden Symbol-Zeichen. Ein 12-Zeichen-Passwort mit allen Klassen hat einen Pool von etwa 94 (einschließlich der verwendeten Symbol-Zeichen), was 12 * log2(94) oder etwa 78,6 Bits ergibt. Das ist eine Obergrenze - es setzt voraus, dass der Angreifer keine Informationen über deine Passwortstruktur hat. Die tatsächliche Rateentropie ist niedriger, weil Menschen nicht- gleichmäßige Muster wählen.

Warum ändert das Hinzufügen eines Symbols am Ende kaum die Bewertung?

Weil das genau das ist, was Angreifer-Wörterbücher erwarten. Hashcats Regelmotor hat eine eingebaute "$!"-Regel, die jedem Kandidaten ein Ausrufezeichen anfügt. "Password1!" ist in der RockYou-Wortlisten- Erweiterung, also findet ein Angreifer es in der gleichen Anzahl von Versuchen wie "Password1". Das Werkzeug spiegelt das wider, indem es der Symbol-Anwesenheit nur einen kleinen Bonus gibt, wenn der Rest des Passworts schwach aussieht. Für echte Entropie verteile Symbole unvorhersehbar oder, noch besser, erhöhe die Länge.

Kann ein 8-Zeichen-Passwort jemals stark sein?

Nur gegen eine Legacy-Website, die langsam hasht (bcrypt, Argon2, PBKDF2 mit 600k Iterationen). Gegen rohes SHA-1 oder SHA-256 fällt ein 8-Zeichen-Alle-Sets-Passwort (~52 Bits) in Stunden bis Tagen auf einem gemieteten GPU-Cluster. Der LinkedIn-2012-Verstoß waren 6,5 Millionen ungesalzene SHA-1-Hashes; Commodity-Cracking-Rigs erholten innerhalb von Wochen etwa 90 Prozent. Wenn du das serverseitige Hashing nicht kontrollieren kannst, behandle 8 Zeichen als Boden und gehe auf 14+ wann immer die Richtlinie es erlaubt.

Bedeutet ein langes Passwort automatisch stark?

Nein. "aaaaaaaaaaaaaaaa" hat 16 Zeichen, aber ein einzelnes wiederholtes Zeichen; der Wiederholungs-Regex erkennt das und senkt die Bewertung. Genauso löst "1234567890123456" den sequenziellen Detektor aus. Länge zählt nur in Kombination mit echter Per-Zeichen- Unvorhersehbarkeit. Wenn du einen Fragment des Bee-Movie-Skripts ausgetippt hast und allein auf Länge vertraust, würde die korpusbasierte Wortliste eines Angreifers es in Minuten trotz der hohen Shannon-Entropie finden.

Wie sollte ich dieses Werkzeug zusammen mit einem Passwortmanager verwenden?

Verwende den Generator deines Managers, um neue Passwörter zu erstellen; verwende diesen Prüfer, um alte während eines Vault-Audits zu diagnostizieren. Die meisten Manager zeigen ein "schwach" oder "wiederverwendet"-Abzeichen, erklären aber nicht warum. Das Einfügen eines markierten Passworts hier enthüllt genau das strukturelle Problem, das das Markieren ausgelöst hat, was nützlich ist, um zu entscheiden, ob bald oder sofort rotiert werden soll. Gib dein Master-Passwort hier oder anderswo außerhalb deines Managers nicht ein.

Ist dieser Prüfer äquivalent zu dem, was eine bekannte Website verwendet?

Er deckt dieselben Struktursignale wie die grundlegenden Stärke-Messgeräte auf den meisten Anmeldeformularen ab (Länge, Klassen-Mix, Mustererkennung). Er ist schwächer als zxcvbn (verwendet von Dropbox, WordPress und vielen Fintech-Seiten), das Wörterbuch-Nachschlagen und Token-Zerlegung hinzufügt. Für Enterprise-Level-Prüfung mit HIBP- Integration kombiniere die Ausgabe dieses Werkzeugs mit einer haveibeenpwned.com/Passwords-Abfrage. Kein einzelnes Client-seitiges Werkzeug kann definitiv sein, weil echte Angreifer Wortlisten und Regel-Transformationen verwenden, die ein Struktur-Prüfer nicht vorantizipieren kann.

Mehr Security & Privacy

AES-256 Encrypt / Decrypt Online - Free, In-Browser

Encrypt and decrypt text with AES-128, AES-192, or AES-256 in GCM, CBC, or CTR mode. PBKDF2 key derivation, entirely in your browser.

Open tool

Basic Auth Header Generator

Create HTTP Basic Authentication headers from a username and password or API token.

Open tool

CSP Header Generator

Build Content-Security-Policy headers with a visual form, presets and per-directive configuration.

Open tool

Password Entropy Calculator

Estimate password entropy, character pool size and crack-time ranges for online and offline attacks.

Open tool

Password Generator

Generate cryptographically secure random passwords with configurable length, character types and entropy display.

Open tool

PBKDF2 Hash Generator

Derive cryptographic keys from passwords using PBKDF2 with configurable iterations, salt and hash function.

Open tool