Passwortstärke + Knackzeit-Schätzer

Wenn du wissen willst, ob dein Passwort wirklich stark genug ist, hilft dir dieses Tool in wenigen Sekunden weiter. Der Rechner zeigt dir beim Tippen eine Live-Bewertung der Passwortstärke (mit klarer Farbrückmeldung) und schätzt anschließend, wie lange dasselbe Passwort zum Knacken brauchen könnte – je nach „Angreifer-Level“ von einem Raspberry Pi über einen Gamer-PC (GPU) bis hin zu einem theoretischen Quantencomputer-Modell. Das Tool ist für alle gedacht, die Passwortstärke, Passwort-Entropie und die Frage „Wie lange dauert es, ein Passwort zu knacken?“ in einem Offline-Angriffszenario praktisch verstehen wollen. Nutze es, um schwache Passwörter zu verbessern, sichere Passphrasen zu bauen und bessere Cybersecurity-Gewohnheiten zu entwickeln – besonders, wenn du Passwörter über mehrere Konten hinweg wiederverwendest.

Password Strength Checker

Educational estimator. Nothing is sent to the server. Avoid entering real passwords—use a sample.

Strength: Entropy: 0 bits

Der vollständige Leitfaden zur Passwortstärke: Entropie, Knackzeit-Schätzungen und Sicherheitsgewohnheiten aus der Praxis

Passwörter gehören zu den Dingen, die wir täglich benutzen – aber kaum jemand denkt gern darüber nach. Du loggst dich ein, du machst weiter. Das Problem: Angreifer denken ständig über Passwörter nach – und sie raten nicht „menschlich“. Sie automatisieren, skalieren und nutzen Muster aus, die wir oft nicht einmal merken.

Dieser Leitfaden macht Passwortstärke verständlich und alltagstauglich. Du lernst, was Passwortentropie bedeutet, warum „kompliziert aussehende“ Passwörter trotzdem schwach sein können, wie sich Offline-Knacken von Online-Loginversuchen unterscheidet und was 2026 wirklich funktioniert: lange, einzigartige Passwörter (oder Passphrasen), plus MFA/2FA, plus saubere Recovery-Hygiene.

Wenn du nach Begriffen wie Passwortstärke-Test, Passwort-Entropie-Rechner, Passwort knacken Dauer, Knackzeit Passwort oder Offline Password Cracking Time gesucht hast, bist du hier richtig.

Was Passwort-„stärke“ wirklich bedeutet (einfach erklärt)

Ein starkes Passwort ist eines, das schwer zu erraten, schwer vorherzusagen und nirgendwo sonst wiederverwendet wird. Punkt.

Viele glauben, Stärke bedeutet „sieht chaotisch aus“. Zum Beispiel: M@rk1991!
Symbole, Großbuchstaben, Zahlen … und trotzdem ist das genau die Art Passwort, die Angreifer oft schnell knacken, weil es typischen menschlichen Mustern folgt: Name + Jahr + Symbol.

Echte Stärke kommt meistens von:

  • Länge (länger ist dramatisch schwerer per Brute Force zu knacken)

  • Unvorhersehbarkeit (zufällig, nicht „clever“)

  • Einzigartigkeit (niemals wiederverwenden)

Darum wiederholen Security-Leute immer denselben Rat: Eine lange Passphrase oder ein vom Passwortmanager erzeugter Zufallsstring ist fast immer besser als ein kurzes „komplexes“ Passwort.

Ein Passwort „knacken“: Was Angreifer tatsächlich tun

Wenn Menschen sagen, ein Passwort wurde „gehackt“, steckt meist eines dieser Szenarien dahinter:

  1. Online-Raten (über das Login-Formular)
    Der Angreifer probiert Passwörter direkt auf der Website/App. Gute Systeme bremsen das aus durch:

  • Rate Limits

  • CAPTCHAs

  • temporäre Sperren

  • IP-Reputation/Abuse-Checks

Darum ist Online-Brute-Force oft langsam. Es kann gegen schwache Systeme trotzdem funktionieren – aber die wirklich „gruseligen“ Zahlen wie Milliarden Versuche pro Sekunde kommen meist nicht von hier.

  1. Credential Stuffing (das größte Praxisproblem bei Passwort-Wiederverwendung)
    Angreifer nehmen geleakte E-Mail+Passwort-Kombinationen aus alten Datenlecks und testen sie automatisiert überall. Genau deshalb ist Wiederverwendung so gefährlich: Du verlierst ein neues Konto, ohne dass jemand „raten“ musste.

  2. Phishing
    Kein Knacken nötig. Du tippst das Passwort auf einer Fake-Login-Seite ein – der Angreifer nutzt es sofort.

  3. Offline-Knacken (Hash Cracking)
    Hier zählt Hardware-Speed wirklich. Nach einem Datenleck können Angreifer eine Datenbank mit Passwort-Hashes bekommen. Dann testen sie Kandidaten auf ihren eigenen Maschinen – ohne Rate Limits, so schnell wie Hardware und Hashing-Algorithmus es erlauben.

Die Schätzungen deines Rechners („Raspberry Pi / Office-PC / Gamer-PC / Supercomputer / Quantum“) beziehen sich vor allem auf dieses Offline-Szenario. Darum solltest du die Ergebnisse als didaktische Schätzung lesen: Die reale Knackzeit hängt stark vom Hash-Typ ab – und davon, ob das Passwort vorhersehbar ist.

Ein Angreifer-Typ, den du (noch) nicht drin hast, der aber für viele Nutzer extrem relevant ist:

  • Online (rate-limited)
    Weil viele Kontoübernahmen tatsächlich über Login-Seiten passieren. Optional kann man später eine Zeile ergänzen (z. B. „100 Versuche/Stunde“) – das hilft auch bei SEO, weil viele genau danach suchen.

Passwortentropie: Die Kernidee hinter dem Rechner

Passwortentropie ist ein Modell, um abzuschätzen, wie viele Versuche nötig wären, ein Passwort zu finden – wenn es zufällig gewählt wäre.

Ein gängiges Modell ist:

Entropie (Bits) = Länge × log2(Zeichensatzgröße)

  • Länge: Anzahl der Zeichen

  • Zeichensatzgröße: wie viele mögliche Zeichen pro Position (z. B. nur Kleinbuchstaben = 26; Buchstaben+Ziffern ≈ 62; druckbare ASCII ≈ 95)

Mehr Entropie bedeutet meist: mehr Kombinationen, mehr nötige Versuche, längere Knackzeit.

Ein einfaches Beispiel

Wenn ein Passwort 12 Zeichen hat und einen großen Zeichensatz nutzt:

Bits ≈ 12 × log2(62) ≈ 12 × 5,95 ≈ 71 Bits

Das klingt stark – wenn es wirklich zufällig ist.

Der wichtigste Haken: Entropie setzt Zufall voraus

Hier die nüchterne Wahrheit: Die meisten von Menschen erstellten Passwörter sind nicht zufällig. Sie haben Struktur:

  • Namen, Teams, Städte

  • Jahreszahlen, Geburtsdaten

  • „1!“ am Ende

  • Tastaturmuster (qwerty, asdf)

  • Ersetzungen, die „alle“ nutzen (a→@, o→0)

Angreifer starten nicht damit, jede Kombination der Reihe nach zu brute-forcen. Sie beginnen mit dem, was am häufigsten funktioniert:

  • Wörterbücher häufiger Passwörter

  • Listen aus Datenleaks

  • regelbasierte „Mutationen“ (1 anhängen, ! anhängen, erster Buchstabe groß, etc.)

  • „Keyboard Walks“

  • probabilistische Modelle

Entropie ist deshalb am besten so zu lesen: „Wenn dieses Passwort zufällig wäre, so groß wäre der Suchraum.“
Wenn es nicht zufällig ist, kann die effektive Stärke deutlich geringer sein.

Warum Länge der König der Passwortsicherheit ist

Länge ist so mächtig, weil sie den Suchraum explodieren lässt.

Ein zusätzliches Zeichen macht nicht „ein bisschen“ mehr Sicherheit. Es multipliziert den Suchraum mit der Zeichensatzgröße. Darum gilt:

  • Von 8 → 12 Zeichen ist ein riesiger Sprung

  • Von 12 → 16 ist noch größer

Genau deshalb funktionieren Passphrasen so gut: Sie sind lang – und Länge bringt Sicherheit, ohne dass man sich auf „komische Symbolregeln“ verlassen muss.

Offline-Knackgeschwindigkeit: Warum deine „Maschinenliste“ Sinn ergibt

Beim Offline-Knacken können Angreifer extrem schnell testen – aber „wie schnell“ hängt ab von:

  • dem Hash-Algorithmus

  • GPU vs. CPU

  • Memory Hardness (Argon2/scrypt bremsen GPUs)

  • Budget und Parallelisierung

Dein Rechner nutzt grobe Guess-Rate-Annahmen als didaktische Baselines:

  • Raspberry Pi (low power)

  • Office-PC (CPU-Baseline)

  • Gamer-PC (GPU) (für manche Hashes sehr hohe Rate)

  • Supercomputer / GPU-Cluster (massive Parallelisierung)

  • Quantencomputer (theoretisch) (Grover-artige Schätzung mit optimistischen Annahmen)

Als „Angreifer-Power-Level“-Modell ist das sehr hilfreich.

Passwort-Hashing 101: Warum dasselbe Passwort leicht oder schwer zu knacken sein kann

Wenn ein Dienst Passwörter korrekt speichert, speichert er sie nicht im Klartext, sondern als Hash (Einweg-Transformation).

Aber nicht jeder Hash ist für Passwörter geeignet.

Schnelle Hashes (schlecht für Passwortspeicherung)

  • MD5

  • SHA-1

  • SHA-256 (wenn ohne langsames Passwort-Hashing-Schema verwendet)

Diese Hashes sind extrem schnell berechenbar – gut für Integrität, schlecht für Passwörter.

Langsame Passwort-Hashes (gut)

  • bcrypt

  • scrypt

  • Argon2

Sie sind absichtlich teuer (langsam und/oder speicherhart) – das macht Massen-Guessing deutlich schwerer, selbst mit GPUs.

Salts und warum sie wichtig sind

Gute Systeme nutzen einen Salt (zufälliger Wert, der mit dem Hash gespeichert wird), damit identische Passwörter nicht bei allen Nutzern identische Hashes erzeugen. Das verhindert, dass Angreifer „einmal knacken und alle matchen“.

Manche Systeme verwenden zusätzlich einen Pepper (serverseitiges Geheimnis) – je nach Implementierung.

Takeaway: Die Knackzeit hängt nicht nur von deinem Passwort ab, sondern auch davon, wie ein Service es speichert. Trotzdem solltest du von Datenlecks ausgehen und Passwörter wählen, die auch bei Offline-Angriffen robust bleiben.

Was „stark genug“ in der Praxis bedeutet

Eine hilfreiche Faustregel:

  • Für zufällige Passwörter: 16+ Zeichen (mit Passwortmanager ist das leicht)

  • Für Passphrasen: 4–6 zufällige Wörter, meist 20+ Zeichen

  • Für kritische Accounts (E-Mail, Banking, Admin): noch länger, MFA aktivieren, Recovery absichern

Wenn du etwas wirklich Wichtiges schützt (dein E-Mail-Konto ist das große), behandle es wie den Schlüssel zu allem – weil es das oft ist.

Passphrasen: Das einfachste Upgrade, das viele wirklich durchhalten

Eine gute Passphrase ist:

  • lang

  • aus zufälligen Wörtern

  • kein Zitat

  • kein Songtext

  • keine bekannte Redewendung

Was nicht funktioniert:

  • „to be or not to be“

  • berühmte Filmlines

  • typische Sprüche

  • Fangesänge

Was funktioniert:

  • 4–6 unabhängige Wörter, wirklich zufällig gewählt

  • optional mit Trennern oder einem Extra-Wort

Passphrasen sind so stark, weil sie merkbar sind, ohne vorhersehbar zu sein – wenn die Wörter wirklich zufällig sind.

Warum Passwortregeln manchmal nach hinten losgehen

Viele Systeme erzwingen noch „alte“ Policies:

  • muss ein Symbol enthalten

  • muss einen Großbuchstaben enthalten

  • muss alle X Tage geändert werden

Das führt oft zu vorhersehbarem Verhalten:

  • „Password1!“

  • „Password2!“

  • „Sommer2026!“

Diese Muster sind exakt das, was Angreifer testen.

Modernere Leitlinien (allgemein) gehen eher in Richtung:

  • lange Passwörter zulassen

  • bekannte kompromittierte Passwörter blockieren

  • MFA fördern

  • erzwungene Rotation vermeiden, außer bei Verdacht auf Kompromittierung

Wenn du eine Website/App betreibst: Schlechte Passwortregeln erzeugen im Schnitt schwächere Passwörter.

Den Rechner richtig (und sicher) verwenden

Dein Rechner läuft im Browser und sendet nichts an den Server – das ist gut.

Trotzdem ist am sichersten:

  • gib nicht dein echtes, aktuell verwendetes Passwort ein

  • nutze ein Sample mit ähnlicher Länge/Struktur

  • betrachte die Knackzeit als Schätzung, nicht als Garantie

Wenn der Rechner „Strong“ sagt, bedeutet das oft „stark im Zufallsmodell“. Wenn dein Passwort reale Muster hat, kann das Risiko in der Praxis höher sein.

Realistisch auf die „Knackzeit“-Zahlen schauen

Knackzeit-Schätzungen können missverständlich sein, wenn man sie falsch liest:

  • Sie nehmen oft Brute Force an (alles durchprobieren)

  • Angreifer gewinnen oft schneller mit smart guesses

  • Es ist meist ein Erwartungswert (Durchschnitt), nicht Worst Case

  • In der Praxis hängen Zeiten stark ab von:

    • Hash-Typ (bcrypt vs. MD5 ist Weltenunterschied)

    • Angreifer-Hardware

    • ob das Passwort in Leak-Listen vorkommt

    • ob Struktur vorhersehbar ist

Die beste Nutzung von Knackzeit-Schätzungen ist als Wake-up-Call:

  • Wenn „Minuten“ oder „Stunden“: Passwortstil sofort ändern

  • Wenn „Jahre“: vermutlich solide – wenn einzigartig und MFA aktiv ist

Die Rolle von MFA (2FA): Das Sicherheitsnetz, das du wirklich willst

Selbst perfekte Passwörter können durch Phishing oder Malware gestohlen werden. MFA hilft, weil eine zweite Anforderung hinzukommt:

  • Einmalcode

  • Authenticator-Prompt

  • oder am besten: Hardware-Security-Key

Für High-Value-Accounts:

  • E-Mail

  • Banking

  • Cloud-Speicher

  • Social Accounts mit Identitätsbezug

  • WordPress-Admin

… sollte MFA Standard sein.

Wichtig: Sichere auch deine MFA-Recovery (Backup-Codes, Recovery-Mail, Recovery-Phone). Wenn Recovery schwach ist, kann MFA über Kontowiederherstellung umgangen werden.

Passwortmanager: Warum sie sich lohnen

„Einzigartige starke Passwörter“ für dutzende Websites ohne Hilfe zu pflegen, ist realistisch kaum machbar.

Passwortmanager lösen die harten Teile:

  • starke Zufallspasswörter generieren

  • sicher speichern

  • sicher autofillen

  • Wiederverwendung und „kleine Variationen“ vermeiden

Wenn du nur eine Gewohnheit aus diesem Artikel mitnimmst: Hör auf, Passwörter wiederzuverwenden. Ein Passwortmanager macht das schmerzfrei.

Häufige Passwortfehler (und schnelle Fixes)

  • Fehler: kurz, aber „komplex“
    Fix: länger. Immer.

  • Fehler: Vorlagen/Schablonen (NameJahr!)
    Fix: Vorlagen aufgeben. zufällig oder zufällige Passphrase.

  • Fehler: „ein starkes Passwort für alles“
    Fix: einzigartig pro Website. Passwortmanager.

  • Fehler: unsichere Speicherung (Screenshots, Klartext-Notizen)
    Fix: Manager oder sicherer Vault.

  • Fehler: E-Mail-Sicherheit ignorieren
    Fix: E-Mail als Master Key behandeln: stark + einzigartig + MFA + Recovery absichern.

Ein praktischer Upgrade-Plan (ohne Overload)

Wenn du in unter einer Stunde den größten Security-Gewinn willst:

  1. E-Mail zuerst absichern

    • Passwort ändern: lang & einzigartig

    • MFA aktivieren

    • Recovery-Optionen prüfen/absichern

  2. Passwortmanager absichern (falls genutzt)

    • starkes Master-Passwort / Master-Passphrase

    • MFA, wenn verfügbar

  3. Wichtigste Accounts als Nächstes

    • Banking

    • Cloud-Speicher

    • Social Accounts

    • Work-Accounts

  4. Ab jetzt keine Wiederverwendung mehr

    • jedes neue Konto: eigenes Passwort

Das bringt schnell messbar mehr Sicherheit.

WordPress-Hinweis (weil viele den Rechner auf WP-Seiten nutzen)

Wenn du eine WordPress-Seite betreibst, ist Passwortstärke nicht nur persönlich – sie ist geschäftskritisch.

Best Practices:

  • einzigartige lange Passwörter für Admin-Accounts

  • MFA für Admins

  • Login-Versuche begrenzen (Rate Limiting)

  • WP Core, Themes, Plugins aktuell halten

  • „admin“ nicht als Benutzername

  • Least Privilege (nicht jeder braucht Admin)

Ein starkes Passwort hilft – aber WordPress-Sicherheit ist immer mehrschichtig.

Häufige Fragen

Wie lang sollte ein Passwort heute sein?
Für Zufallspasswörter sind 16+ Zeichen eine starke Basis. Passphrasen mit 20+ Zeichen sind oft einfacher und sehr robust.

Sind Sonderzeichen wichtig?
Sie helfen, aber Länge hilft mehr. Eine lange Passphrase kann ein kurzes symbolreiches Passwort schlagen.

Ist „Very strong“ immer sicher?
Nicht, wenn es eine vorhersehbare Phrase ist oder wiederverwendet wird. Stärke + Einzigartigkeit + MFA ist die Kombination, die zählt.

Können Quantencomputer Passwörter sofort knacken?
Im Consumer-Alltag ist das überwiegend theoretisch. Lange Passwörter/Passphrasen bieten viel Puffer – und Authentifizierung entwickelt sich weiter (Passkeys, stärkere Hashes, neue Krypto-Standards).

Was ist das größte Risiko in der Praxis?
Passwort-Wiederverwendung und Credential Stuffing. Viele verlieren Konten, weil ein altes Leak-Passwort irgendwo noch funktioniert.

Eine kurze Checkliste zum Speichern

  • überall einzigartige Passwörter verwenden

  • bevorzugt 16+ Zeichen Zufallspasswörter oder 20+ Zeichen Passphrasen

  • MFA bei wichtigen Accounts aktivieren

  • E-Mail und Recovery-Optionen wie einen Master Key absichern

  • Passwortmanager nutzen

  • von Datenlecks ausgehen und entsprechend planen

Passwortsicherheit muss nicht kompliziert sein. Sie muss nur konsequent sein. Lange, einzigartige Passwörter (oder zufällige Passphrasen) plus MFA bringen dich für die meisten Angriffe von „leichtes Ziel“ zu „nicht den Aufwand wert“. Der Rechner macht das Unsichtbare sichtbar: Er zeigt, wie schnell schwache Passwörter unter automatisierten Versuchen einknicken – und warum bessere Gewohnheiten zählen.



Die in diesem Beitrag verwendeten Bilder stammen entweder aus KI-generierter Quelle oder von lizenzfreien Plattformen wie Pixabay oder Pexels.

Ähnliche Beiträge