Zum Inhalt springen
TextArray
100% lokal

Passwortstärke-Prüfer

Schätze Entropie, Knackzeit und konkrete Schwächen eines Passworts — lokal im Browser.

Eingabe
Ausgabe

Passwortstärke-Prüfer

Tippe oder füge ein Passwort ein — gern auch mehrere auf einmal, eines pro Zeile — und erhalte sofort einen Stärkebericht. Zu jedem Passwort siehst du ein Urteil von sehr schwach bis sehr stark, die geschätzte Entropie in Bit, die Größe des tatsächlich genutzten Zeichensatzes, die Länge und die Zeit, die ein Offline-Angreifer mit zehn Milliarden Versuchen pro Sekunde bräuchte, um alle Kombinationen durchzuprobieren.

Statt einer nackten Punktzahl benennt der Prüfer konkrete Schwächen: Passwörter nur aus Kleinbuchstaben, fehlende Ziffern oder Sonderzeichen, häufige Passwörter und Tastaturmuster wie qwertz oder asdf, wiederholte Zeichen wie aaa, Folgen wie abc oder 123 und die klassische Jahreszahl am Ende. Jedes erkannte Muster senkt die Entropieschätzung, denn echte Angreifer probieren genau diese Abkürzungen lange vor roher Gewalt.

Schalte Details anzeigen aus, um pro Passwort eine kompakte Einzeiler-Zusammenfassung zu bekommen — praktisch beim Vergleichen von Kandidaten oder beim Prüfen einer ganzen Liste. Die Bilanz unter der Ausgabe zählt die geprüften Passwörter und zeigt ihre durchschnittliche Entropie, live beim Tippen aktualisiert.

Ein Passwort in eine Website einzugeben fühlt sich normalerweise falsch an — und dieses Bauchgefühl ist richtig. Hier läuft die Analyse vollständig in deinem Browser: Die Seite stellt keine Netzwerkanfragen, nichts wird protokolliert oder gespeichert, und das Passwort verlässt dein Gerät nie — das lässt sich in den Entwicklertools des Browsers nachprüfen. Fällt etwas schwach aus, erzeugst du mit dem Passwort-Generator nebenan mit einem Klick einen stärkeren Ersatz.

Häufige Fragen

Wie wird die Stärke berechnet?
Als Entropieschätzung: Länge × log2 des tatsächlich genutzten Zeichensatzes, abzüglich Abzügen für erkannte Muster wie häufige Passwörter, Tastaturmuster, Wiederholungen, Folgen und Jahreszahlen am Ende. Es ist eine schnelle, ehrliche Näherung — kein vollständiges Knackmodell wie zxcvbn. Nimm die Bits als Orientierung, nicht als Garantie.
Was bedeutet die Knackzeit?
Die Zeit, um alle Kombinationen bei 10 Milliarden Versuchen pro Sekunde durchzuprobieren — eine realistische Rate für einen Offline-Angriff auf eine geleakte Datenbank mit schnellen Hashes. Online-Logins sind ratenbegrenzt und weit langsamer; langsame Hashes wie bcrypt strecken die Zeit erheblich. Lies sie als Größenordnung, nicht als Countdown.
Was macht ein Passwort wirklich stark?
Vor allem die Länge. Vier oder mehr zufällige Wörter oder 16+ zufällige Zeichen schlagen ein kurzes Passwort mit cleveren Ersetzungen. Vermeide Namen, Jahreszahlen, Tastaturmuster und alles, was du anderswo verwendest — und lass einen Passwort-Manager das Ergebnis merken.
Wird mein Passwort irgendwohin gesendet?
Nein. Die Prüfung läuft vollständig in deinem Browser — die Seite stellt keine Netzwerkanfragen, und nichts, was du eingibst, wird hochgeladen, protokolliert oder gespeichert. Das Passwort verlässt dein Gerät nie.