Was macht ein Passwort wirklich sicher?

Ein starkes Passwort hat mindestens 16 Zeichen, mischt Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, vermeidet Wörterbuchwörter und gängige Muster und hat eine Entropie von idealerweise über 60 Bit.

Wie lange würde es dauern, ein starkes Passwort zu knacken?

Ein 16-stelliges zufälliges Passwort mit verschiedenen Zeichentypen würde bei heutiger Rechenleistung Milliarden von Jahren zum Knacken benötigen. Kürzere oder einfachere Passwörter können in Sekunden bis Stunden geknackt werden.

Ist es sicher, mein Passwort in einen Stärketest einzugeben?

Verwende nur Checker, die dein Passwort vollständig im Browser (clientseitig) verarbeiten. Der ToolPal-Passwortstärketest sendet dein Passwort niemals an einen Server — die gesamte Analyse findet lokal in deinem Browser statt.

Was ist Passwort-Entropie?

Entropie misst, wie unvorhersehbar ein Passwort ist, ausgedrückt in Bit. Höhere Entropie bedeutet mehr mögliche Kombinationen, die ein Angreifer durchprobieren muss. Ein Passwort mit 60+ Bit Entropie gilt allgemein als stark.

Sollte ich einen Passwort-Manager verwenden?

Ja, auf jeden Fall. Ein Passwort-Manager ermöglicht es dir, für jede Website ein einzigartiges, zufällig generiertes starkes Passwort zu verwenden, ohne alle auswendig lernen zu müssen. Die Prüfung der Passwortstärke ist nützlich für Passwörter, die du dir merken musst.

Ist dein Passwort wirklich sicher? So funktioniert ein Passwort-Stärketest (2026)

Die unbequeme Wahrheit über deine Passwörter

Vermutlich hast du ein Passwort, das du für dein "sicheres" hältst. Vielleicht so etwas wie P@ssw0rd2024! oder MyDogRex#1. Ein Großbuchstabe, ein paar Sonderzeichen, eine Zahl dazu. Die meisten Passwort-Anzeigen auf Websites haben dir wahrscheinlich einen grünen Balken und ein Daumen-hoch gegeben.

Aber hier ist die Sache — diese Passwörter sind nicht so stark, wie du denkst. P@ssw0rd taucht praktisch in jedem Credential-Stuffing-Wörterbuch auf, weil es tausende Male in Datenlecks aufgetaucht ist. Die @-Ersetzung für a ist so verbreitet, dass Cracking-Tools sie automatisch testen. Das Ausrufezeichen am Ende? Dasselbe Spiel.

Das bedeutet nicht, dass du schlecht im Passwörter-Erstellen bist. Es bedeutet, dass die Art, wie die meisten von uns gelernt haben, Passwörter zu erstellen — einen Großbuchstaben einfügen, einen Vokal durch ein Symbol ersetzen, eine Zahl anhängen — genau das ist, was Angreifer auszunutzen gelernt haben. Echte Passwortstärke ist deutlich interessanter und weniger intuitiv.

Was "stark" wirklich bedeutet

Wenn Sicherheitsexperten über Passwortstärke sprechen, stellen sie im Grunde eine einzige Frage: Wie lange würde ein Angreifer brauchen, um dieses Passwort zu erraten?

Nicht erraten im Sinne von manuellem Eintippen. Moderne Passwort-Knack-Hardware kann Milliarden von Kombinationen pro Sekunde testen. Ein GPU-Cluster, der speziell zum Knacken gebaut wurde, kann den gesamten Suchraum von 8-Zeichen-Passwörtern mit gängigen Zeichensätzen in Stunden durchlaufen. Die Frage ist nicht, ob jemand dein Passwort knacken kann — sondern ob es länger dauern würde als ein Menschenleben (oder idealerweise länger als das Alter des Universums).

Passwortstärke hängt von zwei Dingen ab:

Die Größe des Zeichenpools — wie viele mögliche Zeichen an jeder Position stehen können
Die Länge — wie viele Positionen es gibt

Das ist alles. Großbuchstaben, Sonderzeichen, keine Wörterbuchwörter — alles nur Stellvertreter für diese beiden Faktoren.

Ein 12-Zeichen-Passwort nur aus Kleinbuchstaben hat 26^12 mögliche Kombinationen — etwa 95 Billionen. Klingt nach viel. Aber ein Cracker mit 10 Milliarden Versuchen pro Sekunde würde das in etwa 2,6 Stunden durchprobieren. Nicht ideal.

Ein 16-Zeichen-Passwort nur aus Kleinbuchstaben hat 26^16 Kombinationen — rund 4,3 × 10^22. Bei gleicher Geschwindigkeit wären das etwa 136 Millionen Jahre. Deutlich besser.

Länge gewinnt. Jedes zusätzliche Zeichen multipliziert den Suchraum exponentiell.

Entropie verstehen: Die wahre Kennzahl

Passwortstärke wird formal in Bit Entropie gemessen. Die Formel ist einfach:

entropy = log2(pool_size ^ length) = length × log2(pool_size)

Grobe Richtwerte:

Zeichensatz	Pool-Größe	8 Zeichen	12 Zeichen	16 Zeichen
Nur Kleinbuchstaben	26	38 Bit	56 Bit	75 Bit
Klein + Ziffern	36	41 Bit	62 Bit	83 Bit
Groß/Klein + Ziffern	62	48 Bit	71 Bit	95 Bit
Alle druckbaren ASCII	95	53 Bit	79 Bit	105 Bit

Allgemeine Faustregel:

<40 Bit: Schwach — in Minuten bis Stunden knackbar
40–60 Bit: Mittel — übersteht möglicherweise einfache Angriffe
60–80 Bit: Stark — widersteht den meisten Angriffen
80+ Bit: Sehr stark — praktisch unknackbar durch Brute Force

Vergleichen wir zwei reale Beispiele:

password123 — 11 Zeichen, nur Kleinbuchstaben und Ziffern. Theoretische Entropie: 58 Bit. Aber weil es ein Wörterbuchmuster ist, taucht es in jeder Wortliste auf. Realistisch wird es in unter einer Sekunde geknackt.

k9#Lm2@pQr7!vXwZ — 16 Zeichen mit Groß-/Kleinbuchstaben, Ziffern und Symbolen. Theoretische Entropie: etwa 105 Bit. Keine Wortliste der Welt enthält es. Bei 10 Milliarden Versuchen pro Sekunde würde Brute Force länger dauern als das aktuelle Alter des Universums. So sieht "stark" wirklich aus.

Der Unterschied zwischen diesen beiden Passwörtern ist nicht nur eine andere Farbe auf einem Stärkebalken — es ist der Unterschied zwischen "sofort kompromittiert" und "nie kompromittiert".

Was ein guter Passwort-Stärketest prüft

Ein einfacher Stärketest zählt nur Zeichentypen und Länge. Ein guter geht tiefer. Hier sind die neun Faktoren, die wirklich zählen:

1. Länge Der wichtigste Einzelfaktor. Jedes zusätzliche Zeichen multipliziert die Schwierigkeit exponentiell. Checker sollten zu 16+ Zeichen drängen und längere Passwörter deutlich besser bewerten als kürzere.

2. Zeichenvielfalt Nur Kleinbuchstaben vs. Groß- und Kleinbuchstaben + Ziffern + Symbole erweitert den Pool enorm. Aber das sollte nicht dein Haupthebel sein — es ist ein Multiplikator, nicht das Fundament. Erst Länge, dann Vielfalt.

3. Wörterbuch-Erkennung dragon, sunshine, iloveyou — diese stehen in jeder Cracking-Wortliste. Jeder gute Checker erkennt gängige englische Wörter und bestraft sie, egal wie lang das Passwort aussieht.

4. Gängige Ersetzungen 3 für e, @ für a, ! für i, 0 für o. Angreifer führen diese Ersetzungsmuster automatisch als Teil regelbasierter Angriffe aus. Ein guter Checker erkennt, dass P@$$w0rd strukturell ein Wörterbuchwort ist.

5. Tastaturmuster qwerty, 1234, asdfgh, zxcvbn — Sequenzen, die leicht zu tippen sind, sind leicht zu erraten. Auch diagonale Muster auf der Tastatur sind verbreitet und werden erkannt.

6. Wiederholte Zeichen und Sequenzen aaaa, 1111, abcabc, password1password1. Wiederholungen reduzieren die effektive Entropie drastisch, auch wenn die reine Länge gut aussieht.

7. Häufige-Passwörter-Abgleich Die 10.000 häufigsten Passwörter, die 100.000 häufigsten — diese werden bei jedem Angriff getestet. Ein Checker sollte jedes Passwort markieren, das auf diesen Listen steht oder ihnen ähnelt.

8. Persönliche Informationsmuster Jahreszahlen (1985–2010), Geburtstage in gängigen Formaten (0312, 031285), Namen gefolgt von Zahlen — diese werden bei gezielten Angriffen erraten, bei denen Informationen aus sozialen Medien genutzt werden.

9. Entropie-Berechnung Die endgültige Kennzahl — Entropie in Bit — fasst all das oben Genannte in eine einzige Zahl zusammen, die dir sagt, wie widerstandsfähig das Passwort gegen Brute Force ist, nachdem vorhersehbare Muster berücksichtigt wurden.

Die klassischen Fehler

Selbst Leute, die die Regeln kennen, tappen oft in dieselben Fallen:

Die "Passwort + 1"-Gewohnheit Viele Leute erhöhen bei einer Passwortänderung einfach eine Zahl am Ende: Soccer2022, Soccer2023, Soccer2024. Angreifer, die ein altes Passwort haben, probieren dieses Muster zuerst. Es ist eines der häufigsten Wiederverwendungsmuster in Leak-Daten.

Symbol-Deko Ein ! am Ende oder ein # in der Mitte eines ansonsten schwachen Passworts. Es fühlt sich bedeutsam an, aber wenn das Grundwort im Wörterbuch steht, bleibt alles anfällig für regelbasiertes Cracking. sunshine! wird fast genauso schnell geknackt wie sunshine.

Die Ersetzungsfalle P@ssw0rd ist buchstäblich eines der am häufigsten gesperrten Passwörter überhaupt. Die Ersetzungen sind so vorhersehbar, dass sie in jedes Cracking-Regelwerk eingebaut sind. Wenn du dich darauf verlässt, 3 statt e zu schreiben, schützt das dein Passwort nicht wirklich.

Persönliche, bedeutungsvolle Passwörter JohnDoe1985! wirkt stark — Länge, Großbuchstabe, Zahl, Symbol. Aber es enthält auch deinen Namen und dein Geburtsjahr. Bei einem gezielten Angriff werden diese zuerst ausprobiert. Und wenn du jemals von einem Datenleck betroffen warst, könnte diese Kombination bereits in einer Wortliste stehen.

Überall dasselbe starke Passwort Das ist wohl noch schlimmer als mehrere mittelmäßige Passwörter zu haben. Wenn ein Dienst gehackt wird und dein Passwort im Klartext offengelegt wird (das passiert häufiger als du denkst), ist jedes Konto mit demselben Passwort sofort gefährdet.

Kurze Passwörter mit viel Komplexität P@1x nutzt technisch alle vier Zeichentypen, aber 4 Zeichen werden in Mikrosekunden geknackt. Komplexität ist kein Ersatz für Länge.

So verwendest du den Passwort-Stärketest

Der ToolPal-Passwortstärketest analysiert dein Passwort anhand aller neun oben genannten Kriterien und gibt dir eine detaillierte Aufschlüsselung — nicht nur einen farbigen Balken, sondern konkretes Feedback darüber, was funktioniert und was nicht.

So holst du das Beste heraus:

Beginne mit deinen echten Passwörtern — den Passwörtern, die du aktuell für wichtige Konten verwendest. Die Ergebnisse können unangenehm sein, aber genau das ist der Sinn. Wenn dein Banking-Passwort als "schwach" oder "mittel" eingestuft wird, ist das eine Information, die du brauchst.

Lies das konkrete Feedback — Der Checker gibt dir nicht nur eine Bewertung. Er sagt dir warum: "enthält Wörterbuchwort", "Tastaturmuster erkannt", "zu kurz". Nutze dieses Feedback, um zu verstehen, welches Prinzip du verletzt.

Arbeite auf etwas hin, das du dir merken kannst — Wenn du das Passwort auswendig lernen musst (dazu gleich mehr), ist das Ziel nicht, zufällige Zeichen zu tippen, bis der Balken grün wird. Das Ziel ist zu verstehen, was ein Passwort stark macht, und eines nach diesen Prinzipien zu konstruieren.

Prüfe deine "Master-Passwörter" — Wenn du einen Passwort-Manager verwendest (was du solltest), hast du wahrscheinlich ein Master-Passwort, das alles schützt. Dieses verdient besondere Aufmerksamkeit. Lass es durch den Checker laufen. Sei ehrlich mit dem Ergebnis.

Ein wichtiger Hinweis: Gib Passwörter nur in Checker ein, denen du vertraust. Der ToolPal-Checker verarbeitet alles clientseitig — dein Passwort verlässt nie deinen Browser. Überprüfe das immer, bevor du ein echtes Passwort in ein Online-Tool eingibst.

Grenzen eines Stärketests

Ein Passwort-Stärketest sagt dir, wie schwer dein Passwort isoliert zu erraten ist. Er weiß nicht, ob dieses Passwort bereits geleakt wurde.

Das ist eine echte Einschränkung. Du kannst ein technisch starkes Passwort haben — hohe Entropie, keine Wörterbuchmuster — das trotzdem in einem Datenleck aufgetaucht ist. Wenn ein Dienst Passwörter im Klartext oder mit schwachem Hashing speichert (das kommt immer noch vor), landet dein starkes Passwort in Leak-Datenbanken und wird bei zukünftigen Angriffen ausprobiert.

Dafür brauchst du ein anderes Tool: haveibeenpwned.com — Troy Hunts Dienst, mit dem du prüfen kannst, ob deine E-Mail-Adresse oder ein bestimmtes Passwort in bekannten Datenlecks aufgetaucht ist. Kostenlos, vertrauenswürdig und mit einem datenschutzfreundlichen Design für den Passwort-Check. Nutze es zusammen mit einem Stärketest, nicht anstelle eines solchen.

Die beiden Tools beantworten unterschiedliche Fragen:

Stärketest: Ist dieses Passwort schwer von Grund auf zu erraten?
Have I Been Pwned: Wurde dieses spezifische Passwort bereits offengelegt?

Du willst beim Ersten ein "Ja" und beim Zweiten ein "Nein".

Der Passphrasen-Ansatz

Wenn du ein Passwort erstellen willst, das du dir tatsächlich merken kannst, ist der Passphrasen-Ansatz wirklich hervorragend — und oft sicherer als der Zeichensalat-Ansatz.

Eine Passphrase wie correct-horse-battery-staple (ja, die klassische xkcd-Referenz) ist 28 Zeichen aus Kleinbuchstaben und Bindestrichen. Bei zufällig gewählten Wörtern sind das über 130 Bit Entropie. Und sie ist viel einfacher zu tippen und zu merken als k9#Lm2@pQr7!vXwZ.

Das Schlüsselwort ist zufällig gewählt. Die meisten Menschen wählen Wörter, die zusammenhängen oder persönlich bedeutsam sind — blue-ocean-guitar-dream — was die effektive Zufälligkeit verringert. Ideal sind 4 bis 6 Wörter, die per Würfelwurf oder Zufallswort-Generator gewählt wurden und keinerlei Verbindung zueinander haben.

Wenn du ein zufälliges Passwort statt einer Passphrase willst, nutze einen Generator — nicht deine eigene Vorstellungskraft. Der ToolPal-Passwortgenerator erstellt kryptografisch zufällige Passwörter beliebiger Länge mit jeder Kombination von Zeichentypen. Nutze ihn für Konten, bei denen du das Passwort nicht auswendig lernen musst (was mit einem Passwort-Manager die meisten sind).

Die echte Empfehlung: Nutze einen Passwort-Manager

Ich habe darüber gesprochen, wie man starke Passwörter erstellt, aber lass mich direkt sein: Die tatsächliche Best Practice für die meisten Menschen im Jahr 2026 ist einen Passwort-Manager zu verwenden.

Ein Passwort-Manager wie Bitwarden (kostenlos, Open Source), 1Password oder Dashlane generiert für jede Website ein einzigartiges, kryptografisch zufälliges Passwort — typischerweise 20+ Zeichen aus dem gesamten Zeichensatz. Du wählst das Passwort nicht. Du versuchst nicht, es dir zu merken. Der Manager speichert es und füllt es automatisch ein.

Das löst mehrere Probleme gleichzeitig:

Jedes Konto bekommt ein einzigartiges, starkes Passwort
Du musst dir keines davon merken
Du siehst, welche Konten schwache oder wiederverwendete Passwörter haben
Viele Manager prüfen deine Passwörter automatisch gegen Leak-Datenbanken

Passwort-Stärketests sind am wertvollsten für die Passwörter, die du dir tatsächlich merken musst — dein Master-Passwort für den Passwort-Manager, dein Computer-Login, vielleicht deine Haupt-E-Mail. Für diese lohnt es sich, Entropie zu verstehen und den Checker zur Überprüfung deiner Wahl zu nutzen.

Für alles andere: generieren, nicht erfinden.

Praktische Zusammenfassung

Hier die Kurzversion:

Länge ist der wichtigste Faktor — 16+ Zeichen für alles Wichtige anstreben
Wörterbuchwörter und vorhersehbare Ersetzungen vermeiden — @ für a täuscht niemanden
Deine echten Passwörter überprüfen mit dem Passwortstärketest — nicht hypothetische
Auf Leak-Betroffenheit prüfen bei haveibeenpwned.com separat
Einen Passwort-Manager verwenden für Konten, die du nicht auswendig lernen musst
Eine Passphrase verwenden (4+ zufällige Wörter) für Passwörter, die du dir merken musst
Einen Generator verwenden wie den ToolPal-Passwortgenerator für zufällige Passwörter
Passwörter niemals wiederverwenden — nie, auch keine starken

Das Ziel ist kein grüner Balken auf einem Stärketest. Das Ziel ist ein Passwort, das Jahrhunderte zum Knacken brauchen würde und in keinem Leak aufgetaucht ist. Beides zusammen schützt deine Konten wirklich.

Brauchst du jetzt sofort ein starkes Passwort? Probiere den ToolPal-Passwortgenerator — er erstellt kryptografisch zufällige Passwörter, die du in Länge und Zeichentypen anpassen kannst. Und lass jedes Passwort, das du in Betracht ziehst, vorher durch den Passwortstärketest laufen.