Was bedeuten die Werte 0-4?

Die 0-4-Skala mappt auf die Knackzeit: - **Score 0**: sofort geknackt (Sekunden) - **Score 1**: schwach (Stunden) - **Score 2**: passabel (online ok, offline 1-7 Tage) - **Score 3**: stark (online unknackbar, offline 1+ Jahr) - **Score 4**: sehr stark (offline >100 Jahre) **Ziel**: normale Konten **3+**, Banking / Masterpasswort **4**.

Was sind die "vier Knack-Szenarien"?

Vier Bedrohungsmodelle mit unterschiedlichen Angriffsgeschwindigkeiten: - **Online mit Limit**: Dienst hat Rate-Limit ("3 Fehlversuche = 5min Sperre"), Angreifer 100/h - **Online ohne Limit**: kein Limit, 10/s - **Offline langsamer Hash**: Angreifer haben eine DB mit **bcrypt/argon2**-Hashes, 10.000/s auf CPU - **Offline schneller Hash**: **MD5/SHA-1**-Hashes + GPU-Cluster, 10 Milliarden/s **Dein Passwort muss alle 4 überstehen**, schau dir die schlechteste Zeit an.

Versteht zxcvbn auch nicht-englische Passwörter?

**Teilweise**. Die Liste häufiger Passwörter ist **global** (mit einigen nicht-englischen Einträgen). Die **Wörterbücher sind englisch-only**, daher werden nicht-englische Eigennamen oder Wörter **nicht erkannt**. **Faustregel**: bei nicht-englischen Passwörtern **einen Score abziehen** (zxcvbn 4 = realistisch 3 gegen einen lokalisierten Wörterbuchangriff).

Erreicht das Passwort den Server?

**Nein**. zxcvbn-ts ist eine JS-Bibliothek, die in den Browser gebündelt wird, **die gesamte Analyse läuft clientseitig**. Auch die Wörterbücher sind lokal (~200KB beim ersten Lauf nachgeladen). **DevTools → Netzwerk** = keine Requests mit dem Passwort.

Mein Passwort-Manager sagt "stark", du sagst "schwach", warum?

Die meisten Manager (1Password, Bitwarden, Schlüsselbund) zeigen **Entropie-Bits** oder eine simplere Eigenanalyse. Entropie-Bits **setzen Zufälligkeit voraus** (überschätzen also nicht-zufällige Passwörter stark). **zxcvbn ist strenger**, erkennt Muster und vertraut nicht auf reine Länge. "asdfghjkl12345" wirkt in einer einfachen Analyse lang-und-stark; in zxcvbn = erkannte Tastatursequenz + Ziffern = **schwach**. **Vertraue zxcvbn**.

Score 4 = perfektes Passwort?

**Score 4** = stark genug gegen aktuelle Angriffe (2024-2026). **Nicht perfekt**, sondern das Maximum der zxcvbn-Skala. **Ein Passwort ist nur so stark wie die Stelle, an der du es nutzt**: dasselbe Score-4-Passwort bei 5 Diensten = ein Datenleck kompromittiert alle. **Regel**: jedes Konto bekommt ein **einzigartiges Passwort**, jedes **Score 3+**, kritische (Banking, E-Mail, Manager) **Score 4**.

Wie hebe ich den Score eines schwachen Passworts an?

**Schritt 1**: Setze die zxcvbn-Vorschläge um (die auf die konkrete Ursache zeigen). Typisch: **länger** (6+ Wörter bei Passphrase, 16+ Zeichen bei zufällig), **Alphabete und Ziffern NICHT an vorhersehbaren Stellen mischen** (nicht "Passwort2024", lieber etwas zufälligeres). **Schritt 2**: Komplett neu generieren mit dem [Passwort-Generator](/de/passwort-generator) oder dem [Passphrase-Generator](/de/passphrase-generator). **Jede zufällige 6-Wort-Passphrase erreicht automatisch Score 4**.

Passwortstärke prüfen - kostenlos

Dein Passwort

Alles läuft lokal. Das Passwort verlässt deinen Browser nie.

Wie prüfe ich, ob mein Passwort wirklich stark ist?

Tippe ein Passwort ein und erhalte eine Bewertung von 0-4 (von "Sehr schwach" bis "Sehr stark") plus eine konkrete WARUM-Erklärung.

Anders als ein simpler Entropie-Messer erkennt zxcvbn (die Dropbox-Bibliothek) Muster: Wörterbuchwörter, Geburtsjahre, Tastatur-Walks (qwerty), Wiederholungen, Leetspeak (P@ssw0rd), Nachnamen.

Zeigt die Knackzeit in 4 Szenarien (online mit Rate-Limit, online ohne, offline gegen bcrypt, offline gegen MD5+GPU). Alles läuft lokal, das Passwort verlässt den Browser nie.

So nutzt du das Tool

Tippe das Passwort ein, das Feld ist maskiert (Punkte). Klick auf das Augensymbol, um es einzublenden.

Lies das Live-Ergebnis, der Farbbalken zeigt 0-4 (rot → grün).

Schau dir den Abschnitt "Erkannte Muster" an, zxcvbn zeigt, WELCHER Teil ein Wörterbuchwort ist, WELCHER ein Geburtsjahr und WELCHER eine Tastatursequenz.

Setz die "Vorschläge" der Bibliothek um: "Füge ein weiteres Wort hinzu", "Vermeide Jahreszahlen", "Mische Groß- und Kleinschreibung". Jeder Vorschlag hebt die Bewertung.

Ziel: Score=4 ("Sehr stark") plus keine Warnungen. Offline-Knackzeit >100 Jahre = praktisch unknackbar.

Wann das hilfreich ist

Fünf typische Situationen, in denen eine Stärke-Bewertung dich vor einer Katastrophe bewahrt:

Eigene Passwörter auditieren. Prüfe jedes Passwort aus deinem Manager und fang mit dem schwächsten an.
Unternehmensrichtlinien. Teste Beispielpasswörter gegen deine Regeln; schau, ob "mindestens 8 Zeichen, Großbuchstabe, Ziffer" tatsächlich starke Passwörter liefert (meist nicht, zxcvbn zeigt dir, dass "Sommer2024!" trotz erfüllter Kriterien schwach ist).
Schulung des Teams. Beweise, dass "ein Passwort, das ich mir spontan ausgedacht habe" rund 30 Bit Entropie hat.
Onboarding neuer Mitarbeiter. Prüfe das vorgeschlagene temporäre Passwort, bevor du den Account anlegst.
Passwörter für externe Festplatten, ZIP-Archive, PGP-Schlüssel. Jedes solche Passwort verdient einen gründlichen Test, weil es nie ein Einmal-Passwort ist.

Nach dem Finden eines schwachen Passworts: generiere ein starkes und prüfe, ob es noch nicht geleakt wurde.

Fragen und Antworten

Entropie aus `Länge × log2(Zeichenset)` setzt voraus, dass das Passwort ZUFÄLLIG ist. Die meisten menschlich gewählten Passwörter sind das NICHT, "Sommer2024!" wirkt wie 11 Zeichen = 67 Bit, ist aber in Wahrheit ein Wörterbuchwort + Jahreszahl + häufiges Suffix (~25 Bit, in Stunden geknackt). zxcvbn erkennt Muster und liefert eine realistische Schätzung. Es prüft gegen 30.000+ häufige Passwörter, Wörterbücher, Datumsangaben und Tastatur-Walks.

Wie prüfe ich, ob mein Passwort wirklich stark ist?

Tippe ein Passwort ein und erhalte eine Bewertung von 0-4 (von "Sehr schwach" bis "Sehr stark") plus eine konkrete WARUM-Erklärung.

Zeigt die Knackzeit in 4 Szenarien (online mit Rate-Limit, online ohne, offline gegen bcrypt, offline gegen MD5+GPU). Alles läuft lokal, das Passwort verlässt den Browser nie.

So nutzt du das Tool

Tippe das Passwort ein, das Feld ist maskiert (Punkte). Klick auf das Augensymbol, um es einzublenden.

Lies das Live-Ergebnis, der Farbbalken zeigt 0-4 (rot → grün).

Schau dir den Abschnitt "Erkannte Muster" an, zxcvbn zeigt, WELCHER Teil ein Wörterbuchwort ist, WELCHER ein Geburtsjahr und WELCHER eine Tastatursequenz.

Setz die "Vorschläge" der Bibliothek um: "Füge ein weiteres Wort hinzu", "Vermeide Jahreszahlen", "Mische Groß- und Kleinschreibung". Jeder Vorschlag hebt die Bewertung.

Ziel: Score=4 ("Sehr stark") plus keine Warnungen. Offline-Knackzeit >100 Jahre = praktisch unknackbar.

Wann das hilfreich ist

Fünf typische Situationen, in denen eine Stärke-Bewertung dich vor einer Katastrophe bewahrt:

Eigene Passwörter auditieren. Prüfe jedes Passwort aus deinem Manager und fang mit dem schwächsten an.
Unternehmensrichtlinien. Teste Beispielpasswörter gegen deine Regeln; schau, ob "mindestens 8 Zeichen, Großbuchstabe, Ziffer" tatsächlich starke Passwörter liefert (meist nicht, zxcvbn zeigt dir, dass "Sommer2024!" trotz erfüllter Kriterien schwach ist).
Schulung des Teams. Beweise, dass "ein Passwort, das ich mir spontan ausgedacht habe" rund 30 Bit Entropie hat.
Onboarding neuer Mitarbeiter. Prüfe das vorgeschlagene temporäre Passwort, bevor du den Account anlegst.
Passwörter für externe Festplatten, ZIP-Archive, PGP-Schlüssel. Jedes solche Passwort verdient einen gründlichen Test, weil es nie ein Einmal-Passwort ist.

Nach dem Finden eines schwachen Passworts: generiere ein starkes und prüfe, ob es noch nicht geleakt wurde.

Fragen und Antworten

Passwortstärke prüfen

Wie prüfe ich, ob mein Passwort wirklich stark ist?

So nutzt du das Tool

Wann das hilfreich ist

Fragen und Antworten

Passende Tools

Passwort-Generator

Passphrase-Generator

Passwort-Leak-Check

Passwortstärke prüfen

Wie prüfe ich, ob mein Passwort wirklich stark ist?

So nutzt du das Tool

Wann das hilfreich ist

Fragen und Antworten

Passende Tools

Passwort-Generator

Passphrase-Generator

Passwort-Leak-Check