Passwortstärke-Prüfer

Geschätzte Entropie und Knackzeit für jedes Passwort.

Nichts von dem, was du eingibst, wird an den Server gesendet — alles läuft im Browser.

Entropie
Offline-Angriffszeit
Bewertung

    Was ein Passwort stark macht

    Stärke wird in Entropie-Bits gemessen – grob gesagt, wie viele Versuche ein Angreifer braucht, um das Passwort durch Brute Force zu knacken. Jedes weitere Bit verdoppelt die Versuche. Alles unter 40 Bit ist schwach; 60+ ist sicher gegen Offline-Angriffe; 80+ ist für die meisten Zwecke übertrieben.

    Länge schlägt Komplexität. „correct horse battery staple“ – vier zufällige gängige Wörter – hat mehr Entropie und ist leichter zu merken als „P@ssw0rd!“. Letzteres erfüllt jede „Sonderzeichen einmischen“-Regel, steht aber in jedem Cracker-Wörterbuch. Besser: Nutzen Sie einen Passwort-Manager, um für jedes Konto einzigartige 20-stellige Zufalls-Strings zu erzeugen. Sie müssen sich nur das Master-Passwort des Managers merken.

    Frequently asked questions

    Wie wird Passwortstärke gemessen?
    In Entropie-Bits. Jedes zusätzliche Bit verdoppelt die nötige Anzahl von Versuchen. Ein Passwort mit 40 Bit Entropie braucht rund eine Billion Versuche per Brute Force. Unter 30 Bit ist schwach; 60+ ist stark; 80+ ist für die meisten Konsumzwecke übertrieben. Die Entropie hängt von Länge und Zeichenvielfalt ab.
    Ist „P@ssw0rd!“ ein starkes Passwort?
    Nein. Auf dem Papier hat es passable Entropie, steht aber in jedem Passwort-Cracker-Wörterbuch – das Muster „gängige Wörter mit Zahlen und Satzzeichen ergänzen“ probieren Angreifer als Erstes. Echte Zufälligkeit zählt mehr als die Mischung der Zeichensätze. Eine zufällige 6-Wort-Passphrase (per Diceware o. Ä.) schlägt es mühelos.
    Was knackt Passwörter tatsächlich?
    Drei Angriffe, grob in der Reihenfolge: (1) Credential Stuffing – Angreifer verwenden geleakte Passwörter auf anderen Seiten weiter, weshalb niemals wiederverwendete Passwörter wichtiger sind als starke; (2) Phishing – Sie werden dazu verleitet, es irgendwo einzutippen; (3) Brute Force – nur relevant bei schwachen Passwörtern oder Offline-Angriffen auf gestohlene Hashes. Ein Passwort-Manager plus 2FA wehrt 1 und 2 ab.
    Sollte ich einen Passwort-Manager verwenden?
    Ja, eindeutig. Kostenlose (Bitwarden, KeePass) sind exzellent. Ein Passwort-Manager lässt Sie überall einzigartige 20-stellige Zufallspasswörter verwenden, ohne sich eines davon merken zu müssen. In Kombination mit Hardware-2FA (YubiKey) oder TOTP (Authy/Google Authenticator) besiegt das >99% der realen Angriffe.

    Kreditkarte tilgen

    Monate bis zur Tilgung und Gesamtzinsen, zwei Wege.

    Nettogehalt

    Nettogehalt nach Bundessteuer, FICA und Bundesstaatsteuer.

    Umschuldung

    Ab wann decken die monatlichen Ersparnisse die Abschlusskosten?