Sicherheitsleitfaden

Was ist die Knackzeit eines Passworts?

Erfahren Sie, was Schätzungen der Passwort-Knackzeit bedeuten, warum Annahmen zur Angriffsrate wichtig sind und warum Schätzungen keine Garantien sind.

Zusammenfassung

Die Knackzeit eines Passworts ist eine Schätzung, wie lange ein Rateangriff unter einem bestimmten Modell dauern könnte. Das Modell ist entscheidend. Online-Raten gegen einen Live-Dienst unterscheidet sich vom Offline-Knacken eines geleakten Passwort-Hashes. Eine universelle „Zeit zum Knacken“-Zahl ist ohne Annahmen irreführend.

Nutzen Sie den Passwort-Knackzeit-Rechner und den Stärkeprüfer, um Szenarien lokal zu vergleichen.

Online-Raten

Online-Raten wird durch den Dienst begrenzt. Ratenbegrenzungen, Sperren, Überwachung, MFA und Anomalieerkennung können Angriffe verlangsamen oder stoppen. Eine kurze PIN kann nur akzeptabel sein, weil das System die Versuche begrenzt.

Offline-Knacken

Offline-Knacken findet statt, wenn Angreifer Passwort-Hashes oder verschlüsseltes Material haben. Die Geschwindigkeit hängt vom Hash-Algorithmus, Kostenfaktor, Salt, Hardware und Angriffsstrategie ab. Langsames Passwort-Hashing wie Argon2id, bcrypt oder PBKDF2 soll die Anzahl der Rateversuche pro Sekunde reduzieren.

Zufälligkeit und Muster

Die Mathematik der Knackzeit ist nur sinnvoll, wenn das Passwort tatsächlich zufällig ist. Password123! mag komplex aussehen, taucht aber früh im muster-basierten Raten auf. Ein zufälliges 20-Zeichen-Passwort ist anders, weil es keine menschliche Struktur hat.

Detaillierte Anleitung

Dieser Leitfaden konzentriert sich darauf, Schätzungen der Passwort-Knackzeit verantwortungsvoll zu interpretieren. Er richtet sich an Nutzer, die jahresbasierte Schätzungen sehen und verstehen wollen, was sie wirklich bedeuten. Das praktische Ziel ist nicht, eine dramatische Sicherheitsbehauptung aufzustellen. Das Ziel ist, eine Passwort-Gewohnheit zu wählen, die den Alltag übersteht: Anmeldeformulare, Passwort-Manager, mobile Tastaturen, Kontowiederherstellung, gemeinsam genutzte Geräte und gelegentliche Dienste mit seltsamen Validierungsregeln. Eine sichere Empfehlung ist nur nützlich, wenn eine reale Person sie konsequent befolgen kann.

Der sicherste Ausgangspunkt ist Zufälligkeit plus Einzigartigkeit. Zufälligkeit bedeutet, dass der Wert aus einem großen Raum von einer kryptografisch geeigneten Zufallsquelle ausgewählt wird, nicht aus einem Geburtstag, einem Haustiernamen, einem Tastaturmuster oder einem Lieblingszitat erfunden. Einzigartigkeit bedeutet, dass dasselbe Passwort nirgendwo anders verwendet wird. Ein langes, aber wiederverwendetes Passwort kann nach einem unabhängigen Datenleck schnell versagen, während ein einzigartiges, zufälliges Passwort den Schaden auf das einzelne Konto begrenzt, in dem es verwendet wurde.

Für dieses Thema ist eine praktische Voreinstellung die szenariobasierte Schätzung für Online-Grenzen, langsame Hashes und schnelles Offline-Raten. Sie können diese Voreinstellung mit dem Passwort-Knackzeit-Rechner anwenden und den endgültigen Wert dann in einem vertrauenswürdigen Passwort-Manager speichern. PwdGen generiert Werte lokal im Browser mit Web Crypto; das generierte Passwort wird nicht an einen PwdGen-Server gesendet. Dieses lokale Design reduziert die Server-Exposition, schützt aber nicht vor jeder Bedrohung. Eine bösartige Browser-Erweiterung, ein kompromittiertes Gerät, eine Phishing-Seite oder unsichere Zwischenablage-Handhabung können ein Geheimnis nach der Generierung dennoch offenlegen.

Die häufigsten Probleme, die vermieden werden sollten, sind universelle Knackzeit-Behauptungen, reine Hardware-Annahmen, geleakte Hashes, schwache Speicherung und vorhersagbare Benutzermuster. Diese Probleme sind wichtig, weil Angreifer selten jedes mögliche Passwort brute-forcen müssen, wenn menschliche Gewohnheiten ihnen eine Abkürzung bieten. Credential Stuffing, Phishing, geleakte Passwortlisten und Missbrauch der Kontowiederherstellung sind oft realistischer als eine reine mathematische Suche. Deshalb kombiniert der beste Rat Passwortqualität mit Kontrollen auf Kontobene wie MFA, Passkeys, Wiederherstellungscode-Speicherung und regelmäßige Überprüfung der Wiederherstellungs-E-Mail- oder Telefon-Einstellungen.

Verwenden Sie diese Checkliste bei der Anwendung der Empfehlung:

• Vergleichen Sie mehr als ein Angriffsszenario.
• Behandeln Sie eine große Zahl nicht als Garantie.
• Vermeiden Sie wiederverwendete Passwörter unabhängig von der Schätzung.
• Verwenden Sie MFA für Konten, die es unterstützen.

Wenn eine Website die ideale Einstellung ablehnt, erzwingen Sie das Passwort nicht manuell in ein schwächeres Muster. Passen Sie jeweils eine Variable an. Wenn Symbole abgelehnt werden, behalten Sie Großbuchstaben, Kleinbuchstaben und Zahlen bei und erhöhen Sie die Länge. Wenn eine maximale Länge niedrig ist, verwenden Sie die größte akzeptierte Länge und stellen Sie sicher, dass der Wert einzigartig ist. Wenn ein Passwort laut vorgelesen, ausgedruckt oder auf einem Fernseh- oder Router-Bildschirm eingegeben werden muss, erwägen Sie, verwirrende Zeichen auszuschließen und die Länge zu erhöhen, um das kleinere Alphabet auszugleichen.

Denken Sie schließlich an die Grenzen von Passwort-Ratschlägen. Ein starkes Passwort ist eine Verteidigungsschicht, keine Garantie. Es kann keine Phishing-Seite sicher machen, Malware beheben oder einen Dienst kompensieren, der Anmeldedaten schlecht speichert. Die nützliche Gewohnheit ist langweilig, aber beständig: Generieren Sie einen einzigartigen Wert, speichern Sie ihn sicher, schützen Sie den Wiederherstellungspfad und ersetzen Sie ihn schnell, wenn Sie eine Offenlegung vermuten.

Ein sicherer nächster Schritt

Führen Sie nach dem Lesen dieses Leitfadens eine kleine Konto-Überprüfung durch, anstatt alles auf einmal zu reparieren. Wählen Sie das Konto, das die meisten Probleme verursachen würde, wenn es übernommen würde, bestätigen Sie, dass sein Passwort einzigartig ist, und überprüfen Sie die Wiederherstellungs-E-Mail, das Wiederherstellungstelefon, die MFA-Methode und die Speicherung der Backup-Codes. Wenn ein Teil dieser Kette schwach ist, verbessern Sie diesen Teil, bevor Sie zu Konten mit geringerem Risiko übergehen. Diese Reihenfolge hält die Arbeit überschaubar und schützt die Konten, die Angreifer am wahrscheinlichsten als Sprungbrett nutzen. Für „Was ist die Knackzeit eines Passworts?“ ist das beste Ergebnis eine wiederholbare Gewohnheit: lokal generieren, sorgfältig speichern und Wiederverwendung vermeiden.

Häufig gestellte Fragen

Warum sind sich Knackzeit-Rechner uneinig?

Sie verwenden unterschiedliche Annahmen über Zufälligkeit, Hash-Typ, Hardware, Online-Grenzen und ob das Passwort bereits aus Leaks bekannt ist.

Ist Offline-Knacken schneller als Online-Raten?

Normalerweise ja. Offline-Angreifer können Raten ohne Ratenbegrenzung versuchen, während Online-Systeme Versuche drosseln, sperren und überwachen können.

Sollte ich einem einzelnen „Millionen Jahre“-Ergebnis vertrauen?

Behandeln Sie es als Schätzung unter genannten Annahmen, nicht als Sicherheitsgarantie.