Kostenlos, ohne Anmeldung
Passwort-Stärke prüfen: Wie sicher?
Passwort-Stärke berechnen: Entropie und Brute-Force-Zeit. Länge und Zeichentypen eingeben. Kein echtes Passwort nötig. Kostenloser CERTISCAN Rechner.
Passwort-Stärke berechnen
Zeichen
Anzahl der Zeichen im Passwort
Kleinbuchstaben (a–z)
+26 Zeichen
Großbuchstaben (A–Z)
+26 Zeichen
Ziffern (0–9)
+10 Zeichen
Sonderzeichen (!@#$...)
+33 Zeichen
78.8 Bit
Entropie
✅ Stark
BewertungFür die meisten Konten ausreichend
Zeichenvorrat95 Zeichen
Passwort-Länge12 Zeichen
Bit pro Zeichen6.57 Bit
Brute-Force-Zeit (GPU)86 Tsd. Jahre
Angreifer-Geschwindigkeit100 Mrd./s (GPU-Cluster)
ℹ️ Sicherheitshinweis: Dieser Rechner nimmt kein echtes Passwort entgegen – nur Länge und Zeichentypen. Die Berechnung setzt zufällige Zeichenwahl voraus. Wörterbuch-Passwörter sind deutlich schwächer als die berechnete Entropie.
📧 Ergebnis als PDF per E-Mail erhalten
Kostenlos, unverbindlich und sofort in Ihrem Postfach.
Ich stimme der Datenschutzerklärung zu. *
Ja, ich möchte Praxis-Tipps zu Compliance & HR erhalten (max. 2×/Monat, jederzeit abbestellbar).
Kein Spam. Keine Kreditkarte. Nur Ihr Ergebnis.
Automatisch berechnen mit CERTISCAN
CERTISCAN setzt auf starke Authentifizierung: JWT + Magic-Links, AES-256-Verschlüsselung und Hosting auf deutschen Servern. Kein Passwort-Klartext, nie. Ab 29 €/Monat.
Passwort-Stärke berechnen – Entropie und Brute-Force-Zeit
Wie sicher ist Ihr Passwort wirklich? Die Passwort-Stärke wird in Bit Entropie gemessen. Je höher die Entropie, desto länger braucht ein Angreifer zum Knacken. Der kostenlose CERTISCAN Passwort-Rechner berechnet Entropie und Brute-Force-Zeit – ohne dass Sie Ihr echtes Passwort eingeben müssen.
Beispiel: Ein 12-Zeichen-Passwort mit Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen hat 79 Bit Entropie. Ein GPU-Cluster benötigt theoretisch über 19 Millionen Jahre zum Brute-Force-Knacken. Ein 6-Zeichen-Passwort mit nur Kleinbuchstaben? Unter 1 Sekunde.
Wichtige Sicherheitsregeln
- Mindestens 12 Zeichen für alltägliche Konten
- Mindestens 16 Zeichen für sensible Konten (Banking, Admin)
- Alle Zeichentypen nutzen: Groß, Klein, Ziffern, Sonderzeichen
- Passwort-Manager verwenden statt gleiche Passwörter wiederzuverwenden
Warum CERTISCAN für IT-Sicherheit?
CERTISCAN speichert keine Passwort-Klartexte. Authentifizierung über JWT und Magic-Links. Alle Daten AES-256-verschlüsselt auf deutschen Servern (Hetzner). WORM-Audit-Trail für lückenlose Nachverfolgung. Ab 29 €/Monat.
Berechnung geprüft von Christoph Schulz, Gründer CERTISCAN. Letzte Aktualisierung: März 2026.
Passwort-Stärke berechnen: CERTISCAN vs. Alternativen
| Funktion | CERTISCAN | Standard-Login | Ohne Schutz |
|---|---|---|---|
| Passwort-Hashing | bcrypt | MD5/SHA1 (unsicher) | Klartext |
| Magic-Links | ✅ | ❌ | ❌ |
| Verschlüsselung | AES-256 | Teilweise | Keine |
| Audit-Trail | WORM (SHA-256) | Log-Dateien | Keiner |
| Brute-Force-Schutz | Throttle + bcrypt | Teilweise | Keiner |
| DSGVO-konform | Vollständig | Teilweise | Nein |
| Hosting Deutschland | Hetzner DE | Unterschiedlich | Unterschiedlich |
| Kosten | 29 €/Mo | Unterschiedlich | 0 € |
Alles über Passwort-Sicherheit
Entropie erklärt
Die Entropie misst die Zufälligkeit eines Passworts in Bit:
- Formel: Entropie = log₂(Zeichenvorratⁿ) = n × log₂(Zeichenvorrat)
- Kleinbuchstaben: 26 Zeichen → 4,7 Bit/Zeichen
- + Großbuchstaben: 52 Zeichen → 5,7 Bit/Zeichen
- + Ziffern: 62 Zeichen → 5,95 Bit/Zeichen
- + Sonderzeichen: 95 Zeichen → 6,57 Bit/Zeichen
Bewertungsskala
- < 28 Bit: Sehr schwach – sofort knackbar
- 28–35 Bit: Schwach – in Minuten knackbar
- 36–59 Bit: Mittel – in Stunden bis Tagen knackbar
- 60–80 Bit: Stark – Jahre bis Jahrtausende
- > 80 Bit: Sehr stark – praktisch unknackbar
Brute-Force-Geschwindigkeiten (2026)
- Standard-PC: 1 Milliarde Versuche/Sekunde (md5)
- Gaming-GPU: 10 Milliarden Versuche/Sekunde
- GPU-Cluster (8x): 100 Milliarden Versuche/Sekunde
- Cloud-Angriff: 1 Billion Versuche/Sekunde (theoretisch)
- Gegen bcrypt: Nur 50.000–100.000 Versuche/Sekunde (bewusst langsam)
BSI-Empfehlungen (2026)
- Mindestlänge: 8 Zeichen (BSI) bzw. 12 Zeichen (NIST empfohlen)
- Komplexität: Mind. 3 von 4 Zeichentypen
- Kein Zwangswechsel: BSI empfiehlt keinen regelmäßigen Wechsel mehr
- Passwort-Manager: Empfohlen für alle Konten
- MFA: Zweiter Faktor zusätzlich zum Passwort
Häufigste Passwörter (Deutschland 2025)
- 1. 123456 (sofort knackbar)
- 2. passwort (sofort knackbar)
- 3. 123456789 (sofort knackbar)
- 4. hallo (sofort knackbar)
- 5. 12345 (sofort knackbar)
Tipps für sichere Passwörter
- Passphrase: "Mein-Hund-frisst-gerne-3-Äpfel!" (sehr stark)
- Passwort-Manager: KeePass, 1Password, Bitwarden
- MFA: TOTP (z.B. Google Authenticator) als zweiten Faktor
- Keine Wiederverwendung: Jeder Dienst ein eigenes Passwort
- Kein Wörterbuch: Keine ganzen Wörter, keine Eigennamen
CERTISCAN Sicherheitskonzept
- Keine Passwort-Klartexte – bcrypt-Hashing
- Magic-Links als passwortlose Alternative
- AES-256-Verschlüsselung für sensible Daten
- WORM-Audit-Trail (SHA-256 Hash-Chain)
- Hosting auf Hetzner (Deutschland, DSGVO)
Verwandte Themen
- Datenschutz Bußgeld-Rechner – DSGVO-Risiko
- Datenpanne Meldepflicht – 72-Stunden-Frist
- DSB-Pflicht-Prüfung
Häufig gestellte Fragen
Was ist Passwort-Entropie?
Entropie misst die Zufälligkeit eines Passworts in Bit. Berechnung: Länge × log₂(Zeichenvorrat). Ein 12-Zeichen-Passwort mit 95 möglichen Zeichen hat ca. 79 Bit Entropie. Ab 60 Bit gilt ein Passwort als stark.
Wie lang sollte ein sicheres Passwort sein?
Mindestens 12 Zeichen für normale Konten, 16+ Zeichen für sensible Konten (Banking, Admin). Passphrasen mit 4+ Wörtern sind ebenfalls sehr sicher und leichter zu merken.
Sind Sonderzeichen wirklich nötig?
Sie erhöhen den Zeichenvorrat von 62 auf 95, was die Entropie pro Zeichen von 5,95 auf 6,57 Bit steigert. Wichtiger als Sonderzeichen ist jedoch die Länge: 16 Kleinbuchstaben sind stärker als 8 Zeichen mit Sonderzeichen.
Wie schnell kann ein Passwort geknackt werden?
Abhängig von Entropie und Angreifer: Ein GPU-Cluster schafft 100 Mrd. Versuche/Sekunde gegen MD5. Bei bcrypt-Hashing nur 50.000/s. Ein 12-Zeichen-Passwort (alle Typen) hält einem GPU-Cluster Millionen Jahre stand.
Was ist eine Passphrase?
Eine Passphrase besteht aus mehreren zufälligen Wörtern, z.B. "Mein-Hund-frisst-gerne-3-Äpfel!". Sie ist lang (hohe Entropie), aber leicht zu merken. Empfohlen: 4–6 zufällige Wörter mit Sonderzeichen dazwischen.
Muss ich mein Passwort regelmäßig ändern?
Das BSI empfiehlt seit 2020 keinen regelmäßigen Passwortwechsel mehr. Ändern Sie nur bei Verdacht auf Kompromittierung. Häufiger Wechsel führt oft zu schwächeren Passwörtern.
Was ist MFA / 2FA?
Multi-Faktor-Authentifizierung kombiniert Passwort mit einem zweiten Faktor (SMS-Code, Authenticator-App, Hardware-Token). Selbst ein geknacktes Passwort ist dann wertlos. CERTISCAN nutzt JWT + Magic-Links.
Werden bei diesem Tool echte Passwörter eingegeben?
Nein! Dieser Rechner verwendet nur die Länge und die Zeichentypen (Checkboxen). Sie geben kein echtes Passwort ein. Die Berechnung ist rein mathematisch und datenschutzkonform.
Wie speichert CERTISCAN Passwörter?
CERTISCAN speichert niemals Passwort-Klartexte. Passwörter werden mit bcrypt gehasht (langsamer Algorithmus, resistent gegen Brute-Force). Zusätzlich bietet CERTISCAN passwortlose Magic-Links.
Was ist ein Passwort-Manager?
Ein Passwort-Manager (z.B. KeePass, 1Password, Bitwarden) speichert alle Passwörter verschlüsselt. Sie merken sich nur ein Master-Passwort. Jeder Dienst bekommt ein eigenes, starkes, zufälliges Passwort.