CERTISCAN
Kostenlos, ohne Anmeldung

Passwort-Stärke prüfen: Wie sicher?

Passwort-Stärke berechnen: Entropie und Brute-Force-Zeit. Länge und Zeichentypen eingeben. Kein echtes Passwort nötig. Kostenloser CERTISCAN Rechner.

Passwort-Stärke berechnen

Zeichen
Anzahl der Zeichen im Passwort
Kleinbuchstaben (a\u2013z)
+26 Zeichen
Gro\u00dfbuchstaben (A\u2013Z)
+26 Zeichen
Ziffern (0\u20139)
+10 Zeichen
Sonderzeichen (!@#$...)
+33 Zeichen
78.8 Bit
Entropie
Stark
BewertungFür die meisten Konten ausreichend
Zeichenvorrat95 Zeichen
Passwort-Länge12 Zeichen
Bit pro Zeichen6.57 Bit
Brute-Force-Zeit (GPU)86 Tsd. Jahre
Angreifer-Geschwindigkeit100 Mrd./s (GPU-Cluster)
\u2139\ufe0f Sicherheitshinweis: Dieser Rechner nimmt kein echtes Passwort entgegen \u2013 nur L\u00e4nge und Zeichentypen. Die Berechnung setzt zuf\u00e4llige Zeichenwahl voraus. W\u00f6rterbuch-Passw\u00f6rter sind deutlich schw\u00e4cher als die berechnete Entropie.

📧 Ergebnis als PDF per E-Mail erhalten

Kostenlos, unverbindlich und sofort in Ihrem Postfach.

Ich stimme der Datenschutzerkl\u00e4rung zu. *
Ja, ich m\u00f6chte Praxis-Tipps zu Compliance & HR erhalten (max. 2\u00d7/Monat, jederzeit abbestellbar).

Kein Spam. Keine Kreditkarte. Nur Ihr Ergebnis.

Automatisch berechnen mit CERTISCAN

CERTISCAN setzt auf starke Authentifizierung: JWT + Magic-Links, AES-256-Verschlüsselung und Hosting auf deutschen Servern. Kein Passwort-Klartext, nie. Ab 29 €/Monat.

14 Tage kostenlos testen →Mehr zu Hinweisgeberschutz

Passwort-Stärke berechnen – Entropie und Brute-Force-Zeit

Wie sicher ist Ihr Passwort wirklich? Die Passwort-Stärke wird in Bit Entropie gemessen. Je höher die Entropie, desto länger braucht ein Angreifer zum Knacken. Der kostenlose CERTISCAN Passwort-Rechner berechnet Entropie und Brute-Force-Zeit – ohne dass Sie Ihr echtes Passwort eingeben müssen.

Beispiel: Ein 12-Zeichen-Passwort mit Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen hat 79 Bit Entropie. Ein GPU-Cluster benötigt theoretisch über 19 Millionen Jahre zum Brute-Force-Knacken. Ein 6-Zeichen-Passwort mit nur Kleinbuchstaben? Unter 1 Sekunde.

Wichtige Sicherheitsregeln

  • Mindestens 12 Zeichen für alltägliche Konten
  • Mindestens 16 Zeichen für sensible Konten (Banking, Admin)
  • Alle Zeichentypen nutzen: Groß, Klein, Ziffern, Sonderzeichen
  • Passwort-Manager verwenden statt gleiche Passwörter wiederzuverwenden

Warum CERTISCAN für IT-Sicherheit?

CERTISCAN speichert keine Passwort-Klartexte. Authentifizierung über JWT und Magic-Links. Alle Daten AES-256-verschlüsselt auf deutschen Servern (Hetzner). WORM-Audit-Trail für lückenlose Nachverfolgung. Ab 29 €/Monat.

Berechnung gepr\u00fcft von Christoph Schulz, Gr\u00fcnder CERTISCAN. Letzte Aktualisierung: M\u00e4rz 2026.

Passwort-Stärke berechnen: CERTISCAN vs. Alternativen

FunktionCERTISCANStandard-LoginOhne Schutz
Passwort-HashingbcryptMD5/SHA1 (unsicher)Klartext
Magic-Links
VerschlüsselungAES-256TeilweiseKeine
Audit-TrailWORM (SHA-256)Log-DateienKeiner
Brute-Force-SchutzThrottle + bcryptTeilweiseKeiner
DSGVO-konformVollständigTeilweiseNein
Hosting DeutschlandHetzner DEUnterschiedlichUnterschiedlich
Kosten29 €/MoUnterschiedlich0 €

Alles über Passwort-Sicherheit

Entropie erklärt

Die Entropie misst die Zufälligkeit eines Passworts in Bit:

  • Formel: Entropie = log₂(Zeichenvorratⁿ) = n × log₂(Zeichenvorrat)
  • Kleinbuchstaben: 26 Zeichen → 4,7 Bit/Zeichen
  • + Großbuchstaben: 52 Zeichen → 5,7 Bit/Zeichen
  • + Ziffern: 62 Zeichen → 5,95 Bit/Zeichen
  • + Sonderzeichen: 95 Zeichen → 6,57 Bit/Zeichen

Bewertungsskala

  • < 28 Bit: Sehr schwach – sofort knackbar
  • 28–35 Bit: Schwach – in Minuten knackbar
  • 36–59 Bit: Mittel – in Stunden bis Tagen knackbar
  • 60–80 Bit: Stark – Jahre bis Jahrtausende
  • > 80 Bit: Sehr stark – praktisch unknackbar

Brute-Force-Geschwindigkeiten (2026)

  • Standard-PC: 1 Milliarde Versuche/Sekunde (md5)
  • Gaming-GPU: 10 Milliarden Versuche/Sekunde
  • GPU-Cluster (8x): 100 Milliarden Versuche/Sekunde
  • Cloud-Angriff: 1 Billion Versuche/Sekunde (theoretisch)
  • Gegen bcrypt: Nur 50.000–100.000 Versuche/Sekunde (bewusst langsam)

BSI-Empfehlungen (2026)

  • Mindestlänge: 8 Zeichen (BSI) bzw. 12 Zeichen (NIST empfohlen)
  • Komplexität: Mind. 3 von 4 Zeichentypen
  • Kein Zwangswechsel: BSI empfiehlt keinen regelmäßigen Wechsel mehr
  • Passwort-Manager: Empfohlen für alle Konten
  • MFA: Zweiter Faktor zusätzlich zum Passwort

Häufigste Passwörter (Deutschland 2025)

  • 1. 123456 (sofort knackbar)
  • 2. passwort (sofort knackbar)
  • 3. 123456789 (sofort knackbar)
  • 4. hallo (sofort knackbar)
  • 5. 12345 (sofort knackbar)

Tipps für sichere Passwörter

  1. Passphrase: "Mein-Hund-frisst-gerne-3-Äpfel!" (sehr stark)
  2. Passwort-Manager: KeePass, 1Password, Bitwarden
  3. MFA: TOTP (z.B. Google Authenticator) als zweiten Faktor
  4. Keine Wiederverwendung: Jeder Dienst ein eigenes Passwort
  5. Kein Wörterbuch: Keine ganzen Wörter, keine Eigennamen

CERTISCAN Sicherheitskonzept

  • Keine Passwort-Klartexte – bcrypt-Hashing
  • Magic-Links als passwortlose Alternative
  • AES-256-Verschlüsselung für sensible Daten
  • WORM-Audit-Trail (SHA-256 Hash-Chain)
  • Hosting auf Hetzner (Deutschland, DSGVO)

Verwandte Themen

H\u00e4ufig gestellte Fragen

Entropie misst die Zufälligkeit eines Passworts in Bit. Berechnung: Länge × log₂(Zeichenvorrat). Ein 12-Zeichen-Passwort mit 95 möglichen Zeichen hat ca. 79 Bit Entropie. Ab 60 Bit gilt ein Passwort als stark.
Mindestens 12 Zeichen für normale Konten, 16+ Zeichen für sensible Konten (Banking, Admin). Passphrasen mit 4+ Wörtern sind ebenfalls sehr sicher und leichter zu merken.
Sie erhöhen den Zeichenvorrat von 62 auf 95, was die Entropie pro Zeichen von 5,95 auf 6,57 Bit steigert. Wichtiger als Sonderzeichen ist jedoch die Länge: 16 Kleinbuchstaben sind stärker als 8 Zeichen mit Sonderzeichen.
Abhängig von Entropie und Angreifer: Ein GPU-Cluster schafft 100 Mrd. Versuche/Sekunde gegen MD5. Bei bcrypt-Hashing nur 50.000/s. Ein 12-Zeichen-Passwort (alle Typen) hält einem GPU-Cluster Millionen Jahre stand.
Eine Passphrase besteht aus mehreren zufälligen Wörtern, z.B. "Mein-Hund-frisst-gerne-3-Äpfel!". Sie ist lang (hohe Entropie), aber leicht zu merken. Empfohlen: 4–6 zufällige Wörter mit Sonderzeichen dazwischen.
Das BSI empfiehlt seit 2020 keinen regelmäßigen Passwortwechsel mehr. Ändern Sie nur bei Verdacht auf Kompromittierung. Häufiger Wechsel führt oft zu schwächeren Passwörtern.
Multi-Faktor-Authentifizierung kombiniert Passwort mit einem zweiten Faktor (SMS-Code, Authenticator-App, Hardware-Token). Selbst ein geknacktes Passwort ist dann wertlos. CERTISCAN nutzt JWT + Magic-Links.
Nein! Dieser Rechner verwendet nur die Länge und die Zeichentypen (Checkboxen). Sie geben kein echtes Passwort ein. Die Berechnung ist rein mathematisch und datenschutzkonform.
CERTISCAN speichert niemals Passwort-Klartexte. Passwörter werden mit bcrypt gehasht (langsamer Algorithmus, resistent gegen Brute-Force). Zusätzlich bietet CERTISCAN passwortlose Magic-Links.
Ein Passwort-Manager (z.B. KeePass, 1Password, Bitwarden) speichert alle Passwörter verschlüsselt. Sie merken sich nur ein Master-Passwort. Jeder Dienst bekommt ein eigenes, starkes, zufälliges Passwort.

Verwandte Themen

Datenschutz Bußgeld-RechnerDSGVO-BußgeldrisikoDatenpanne Meldepflicht72-Stunden-FristDSB-Pflicht-PrüfungAb wann Pflicht?Löschfristen-RechnerAufbewahrungsfristenCERTISCAN DatenschutzDatenschutzerklärung

Bereit f\u00fcr automatische Berechnung?

14 Tage kostenlos. Keine Kreditkarte. Keine K\u00fcndigung n\u00f6tig.

CERTISCAN kostenlos testen