Password Strength Checker
Prüfe die Stärke deines Passworts und scanne über HIBP nach Leaks. Vollständig in deinem Browser.
So funktioniert dieses Tool
Lokale Analyse
Die Entropie wird aus dem verwendeten Zeichensatz (Groß-/Kleinbuchstaben, Ziffern, Symbole) und der Länge berechnet. Außerdem werden schwache Muster erkannt: häufige Wörter, Tastatursequenzen, Wiederholungen und Jahreszahlen.
Schätzung der Knackzeit
Bei einem Brute-Force-Angriff mit 10 Milliarden Versuchen/Sekunde (moderne GPU) wird die Zeit aus der Entropie geschätzt: 2^Bit / 10^10 Sekunden. Über 60 Bit dauert ein Angriff Jahre.
HIBP-Leak-Check (optional)
Beim Klick auf den Button wird clientseitig ein SHA-1-Hash berechnet. Nur die ersten 5 Zeichen (Präfix) werden an die Have-I-Been-Pwned-API gesendet. Die zurückgegebenen Suffixe werden lokal verglichen — dein vollständiges Passwort verlässt niemals dein Gerät.
Dein Passwort verlässt niemals deinen Browser
Die Stärkeanalyse läuft vollständig lokal: keine Netzwerkanfragen. Beim Leak-Check werden nur 5 Zeichen des SHA-1-Hashs übertragen (k-Anonymität). Have I Been Pwned erhält ein generisches Präfix — daraus lässt sich dein Passwort nicht rekonstruieren. Öffne den Netzwerk-Tab der DevTools, um das selbst zu überprüfen.
Starke Passwörter erstellen und speichern
Ein starkes Passwort (mindestens 16 Zeichen, Groß-/Kleinbuchstaben + Ziffern + Symbole) erzeugt eine Entropie über 80 Bit und macht Brute-Force-Angriffe selbst mit spezialisierter Hardware praktisch unmöglich.
Sobald du ein starkes Passwort hast, speichere es in einem Passwort-Manager. Er verschlüsselt deinen Tresor lokal vor jeder Cloud-Synchronisierung.
Speichere deine Passwörter sicher
Ein starkes Passwort, das unsicher gespeichert wird, ist wertlos. Bitwarden, Proton Pass und NordPass sind Open Source, auditierbar und kostenlos.
Häufig gestellte Fragen
Wird mein Passwort über das Internet gesendet?
Nein. Die Stärkeanalyse ist zu 100 % lokal. Beim HIBP-Check werden nur die ersten 5 Zeichen des SHA-1-Hashs deines Passworts übertragen (k-Anonymität). Weder der vollständige Hash noch das Klartext-Passwort verlässt jemals deinen Browser — Have I Been Pwned kann dein Passwort aus dem Präfix nicht ableiten.
Was ist Have I Been Pwned?
Have I Been Pwned (HIBP) ist eine öffentliche Datenbank des Sicherheitsforschers Troy Hunt, die über 10 Milliarden Zugangsdaten-Paare aus bekannten Datenlecks zusammenfasst. Ihre Passwort-Prüf-API nutzt k-Anonymität, sodass der vollständige Passwort-Hash nie offengelegt wird.
Wie wird die Entropie berechnet?
Die Entropie wird als L × log₂(N) berechnet, wobei L die Passwortlänge und N die Größe des Zeichenpools ist (26 Kleinbuchstaben, 26 Großbuchstaben, 10 Ziffern, 32 Symbole). Ein 16-stelliges Passwort mit allen Zeichensätzen ergibt zum Beispiel 16 × log₂(94) ≈ 104 Bit.
Welche Mindestbewertung empfehlt ihr?
Strebe mindestens „Stark“ (60+ Bit) an. Für kritische Konten (Haupt-E-Mail, Bank, Passwort-Manager) ziele auf „Sehr stark“ (80+ Bit) — das bedeutet 16+ Zeichen mit Groß-/Kleinbuchstaben, Ziffern und Symbolen.
Was soll ich tun, wenn mein Passwort geleakt wurde?
Ändere es sofort bei jedem Dienst, bei dem du es verwendet hast. Aktiviere die Zwei-Faktor-Authentifizierung (2FA) für diese Konten. Nutze einen Passwort-Manager, um für jeden Dienst ein eindeutiges Passwort zu erstellen und zu speichern.