Kostenlose Tools

Ihre digitale Identität
sicher schützen.

Verstehen Sie Passwortsicherheit, Zwei-Faktor-Authentifizierung und moderne Login-Verfahren – mit interaktiven Tools zum Ausprobieren und verständlichen Erklärungen für jedermann.

Zu den Tools ↓ Mehr erfahren
10 Mrd.+
Geleakte Zugangsdaten
81%
Angriffe durch schwache Passwörter
1 Sek.
Um „123456" zu knacken
99,9%
Schutz durch MFA
Grundlagen

Warum Passwortsicherheit so wichtig ist

Jeden Tag werden Millionen von Konten kompromittiert. Die meisten Angriffe nutzen schwache, wiederverwendete oder gestohlene Zugangsdaten aus. Verstehen Sie die Grundlagen, um sich wirksam zu schützen.

🔑

Passwörter

Ein starkes Passwort ist Ihre erste Verteidigungslinie. Lange, zufällige Zeichenfolgen sind für Angreifer exponentiell schwerer zu knacken als kurze, vorhersagbare Kombinationen. Ein Passwort mit 20 zufälligen Zeichen zu knacken, würde Milliarden von Jahren dauern.

📱

Zwei-Faktor (2FA/TOTP)

Selbst wenn Ihr Passwort gestohlen wird, blockiert ein zweiter Faktor den Zugriff. Zeitbasierte Einmalpasswörter (TOTP) generieren alle 30 Sekunden einen neuen 6-stelligen Code, den nur Ihr Gerät kennt – eine enorm effektive Zusatzsicherung.

🛡️

Passkeys & WebAuthn

Die Zukunft der Authentifizierung ist passwortlos. Passkeys nutzen kryptographische Schlüsselpaare, die an Ihr Gerät und biometrische Merkmale gebunden sind. Kein Passwort, das gestohlen werden kann – und dabei bequemer als jede andere Methode.

🔍

Datenleck-Prüfung

Milliarden von Zugangsdaten wurden bereits bei Hacker-Angriffen erbeutet und im Darknet veröffentlicht. Prüfen Sie regelmäßig, ob Ihre E-Mail oder Passwörter betroffen sind, und ändern Sie kompromittierte Zugangsdaten sofort.

Deep Dive

Wie sicher ist ein Passwort wirklich?

Die Stärke eines Passworts wird in Entropy gemessen – je mehr Bits, desto sicherer. Entscheidend sind Länge und Zeichenvielfalt.

Anatomie eines starken Passworts

G x 7 m # K p 2 @ v R 9 ! n T f 4 & q Z
Großbuchstaben Kleinbuchstaben Ziffern Sonderzeichen

Crack-Zeit im Vergleich

Passwort Länge Entropy Crack-Zeit*
123456 6 ~20 Bit Sofort
Sommer2024! 11 ~36 Bit Minuten
kT9#mPv2x& 10 ~66 Bit ~7 Jahre
Gx7m#Kp2@vR9!nTf4&qZ 20 ~131 Bit Trillionen Jahre
korrekt-batterie-pferd-heftklammer 35 ~56 Bit ~Jahrhunderte

* Geschätzt bei 10 Milliarden Versuchen pro Sekunde (moderner GPU-Cluster)

Interaktive Tools

Security-Werkzeuge zum Ausprobieren

Alle Tools laufen lokal in Ihrem Browser. Keine Daten werden an unsere Server gesendet – Ihre Eingaben bleiben bei Ihnen.

Tool 01

Sicherer Passwort-Generator

Erstellen Sie kryptographisch sichere Passwörter, die mit heutiger Technologie praktisch unknackbar sind. Unser Generator nutzt die Web Crypto API Ihres Browsers für echten Zufall – nicht Pseudozufall.

  • Kryptographisch sicherer Zufallsgenerator (CSPRNG)
  • Konfigurierbare Länge, Zeichenarten und Regeln
  • Echtzeit-Stärkeanalyse mit Entropy-Berechnung
  • Passphrasen-Modus mit deutschen Wörtern
  • Alles passiert lokal – kein Netzwerkzugriff nötig

So funktioniert es:

Der Generator erstellt einen Pool aus den gewählten Zeichentypen. Mittels crypto.getRandomValues() werden kryptographisch sichere Zufallszahlen erzeugt, die als Index in den Zeichenpool dienen. Das Ergebnis: Ein Passwort, das für Angreifer nicht vorhersagbar ist, egal wie viel Rechenleistung sie aufwenden.

Passwort-Generator

0 Bit Entropy
20

Verwirrende oder schwer lesbare Zeichen können ausgeschlossen werden.

0 Bit Entropy
5
So funktioniert TOTP

Zeitbasierte Einmalpasswörter erklärt

TOTP (Time-based One-Time Password) ist der Standard hinter Apps wie Google Authenticator, Authy oder Microsoft Authenticator. So funktioniert das Verfahren Schritt für Schritt:

🔐
Geheimer Schlüssel
⏱️
Aktuelle Zeit
(÷ 30 Sek.)
🔢
HMAC-SHA1
Algorithmus
6-stelliger Code

Der Server und Ihre Authenticator-App teilen sich denselben geheimen Schlüssel. Beide berechnen unabhängig voneinander aus der aktuellen Uhrzeit (geteilt durch 30 Sekunden) und dem Schlüssel denselben 6-stelligen Code. So kann der Server prüfen, ob Sie Zugang zum Schlüssel haben – ohne dass der Code selbst übertragen werden muss. Jeder Code ist nur 30 Sekunden gültig.

Tool 02

TOTP-Generator & Demo

Erleben Sie live, wie zeitbasierte Einmalpasswörter (TOTP) funktionieren. Geben Sie einen Base32-kodierten Schlüssel ein oder nutzen Sie unseren Beispielschlüssel, und beobachten Sie, wie sich der Code alle 30 Sekunden erneuert.

  • HMAC-SHA1 basierter TOTP-Algorithmus (RFC 6238)
  • Base32-Dekodierung des geheimen Schlüssels
  • Live-Countdown mit automatischer Code-Erneuerung
  • Komplett im Browser – kein Schlüssel verlässt Ihr Gerät
ℹ️ Diese Demo ist nur zur Veranschaulichung. Verwenden Sie für echte 2FA immer eine dedizierte Authenticator-App.

TOTP-Generator

Base32-Kodierung (A–Z, 2–7). Leerzeichen werden ignoriert.

------
30s
Die Zukunft der Authentifizierung

Passkeys & WebAuthn verstehen

Passkeys ersetzen Passwörter durch kryptographische Schlüsselpaare, die an Ihr Gerät gebunden sind. Das Prinzip: Ihr Gerät beweist seine Identität, ohne jemals ein Geheimnis preiszugeben.

💻
Ihr Gerät
🔒
Privater Schlüssel
(bleibt lokal)
✍️
Challenge signieren
🌐
Server prüft
mit Public Key
Eigenschaft Passwort Passkey
Phishing-Schutz ✕ Keiner ✓ Eingebaut
Replay-Angriffe ✕ Möglich ✓ Unmöglich
Server-Leak-Risiko ✕ Hoch ✓ Harmlos (Public Key)
Benutzerfreundlichkeit Merken / Tippen ✓ Biometrie / PIN
Brute-Force-Schutz ✕ Abhängig von Stärke ✓ Kryptographisch sicher
Tool 03

WebAuthn / Passkey Demo

Erleben Sie Passkeys in Aktion. Diese Demo nutzt die WebAuthn-API Ihres Browsers, um ein kryptographisches Schlüsselpaar zu erzeugen und eine Authentifizierung zu simulieren. Alles passiert lokal – es wird keine Verbindung zu einem Server hergestellt.

  • Echte WebAuthn-API Ihres Browsers
  • FIDO2-konforme Credential-Erzeugung
  • Simulation des Challenge-Response-Verfahrens
  • Unterstützt Hardware-Keys, Fingerabdruck, Face ID etc.
ℹ️ WebAuthn benötigt einen unterstützten Browser (Chrome, Firefox, Safari, Edge). Auf manchen Geräten wird ein Sicherheitsschlüssel oder Biometrie benötigt.

Passkey Demo

🔐
Noch kein Passkey registriert. Erstellen Sie einen, um die Demo zu starten.
Datenlecks verstehen

Warum regelmäßige Leak-Checks wichtig sind

Jedes Jahr werden Milliarden von Zugangsdaten bei Hacker-Angriffen gestohlen. Oft dauert es Monate, bis Unternehmen den Vorfall bemerken und die Nutzer informieren. In dieser Zeit können Angreifer Ihre Daten missbrauchen.

So schützt die Passwort-Prüfung Ihre Privatsphäre:

Bei der Passwort-Prüfung wird Ihr Passwort zunächst lokal gehasht (SHA-1). Dann werden nur die ersten 5 Zeichen des Hashes an die API gesendet (k-Anonymity). Die API liefert alle Hashes zurück, die mit diesen 5 Zeichen beginnen, und der Abgleich findet lokal in Ihrem Browser statt. So erfährt niemand Ihr tatsächliches Passwort – nicht einmal der Prüf-Dienst.

🔑
Ihr Passwort
#️⃣
SHA-1 Hash
(lokal)
✂️
Erste 5 Zeichen
senden
🔍
Lokaler Abgleich
Tool 04

Datenleck-Prüfung (HIBP)

Prüfen Sie, ob Ihre E-Mail-Adresse in bekannten Datenlecks aufgetaucht ist oder ob eines Ihrer Passwörter bereits kompromittiert wurde. Powered by „Have I Been Pwned" – dem weltweit größten Verzeichnis für Datenlecks.

  • E-Mail-Check: Prüft, ob Ihre E-Mail in bekannten Breaches vorkommt (API-Key erforderlich)
  • Passwort-Check: Prüft per k-Anonymity, ob das Passwort geleakt wurde
  • Der Passwort-Check ist anonym – Ihr Passwort verlässt nie den Browser
  • Die API kennt über 14 Milliarden kompromittierte Konten

Datenleck-Prüfung

Benötigt einen API-Key von haveibeenpwned.com.

Ihr Passwort wird lokal gehasht. Nur die ersten 5 Zeichen des SHA-1-Hashes werden gesendet.

Bonus-Tool

Passwort-Stärketest

Testen Sie die Stärke eines beliebigen Passworts. Unser Analyzer bewertet Länge, Zeichenvielfalt, bekannte Muster und berechnet die geschätzte Zeit, die ein moderner Angreifer zum Knacken benötigen würde.

  • Analyse von Entropy und effektiver Stärke
  • Erkennung häufiger Schwächen und Muster
  • Geschätzte Crack-Zeit bei verschiedenen Angriffsmethoden
  • Konkrete Verbesserungsvorschläge

Passwort-Stärketest

Geben Sie ein Passwort ein
Min. 12 Zeichen
Großbuchstaben
Kleinbuchstaben
Ziffern
Sonderzeichen
Keine Wiederholungen
Best Practices

10 goldene Regeln für Ihre Sicherheit

Diese praxiserprobten Maßnahmen schützen Ihre Konten wirksam vor den häufigsten Angriffsarten.

01

Einzigartige Passwörter verwenden

Nutzen Sie für jeden Dienst ein eigenes Passwort. Wird ein Dienst kompromittiert, sind die anderen nicht betroffen.

02

Passwort-Manager nutzen

Tools wie Bitwarden, 1Password oder KeePass speichern und generieren sichere Passwörter – Sie müssen sich nur noch eins merken.

03

2FA überall aktivieren

Aktivieren Sie Zwei-Faktor-Authentifizierung auf allen Diensten, die es anbieten. Bevorzugen Sie TOTP-Apps oder Hardware-Keys über SMS.

04

Passkeys wo möglich

Stellen Sie auf Passkeys um, wenn ein Dienst sie unterstützt. Sie sind phishing-resistent und bequemer als Passwörter.

05

Min. 16 Zeichen Passwortlänge

Längere Passwörter sind exponentiell sicherer. 16 Zeichen mit Zeichenmix bieten über 100 Bit Entropy.

06

Regelmäßig auf Leaks prüfen

Überprüfen Sie Ihre E-Mail-Adressen regelmäßig auf Datenlecks und ändern Sie betroffene Passwörter sofort.

07

Phishing erkennen lernen

Prüfen Sie Absender, URLs und Formulierungen kritisch. Seriöse Dienste fragen nie per E-Mail nach Passwörtern.

08

Software aktuell halten

Updates schließen Sicherheitslücken, die Angreifer ausnutzen könnten. Aktivieren Sie automatische Updates.

09

Backup-Codes sicher aufbewahren

Speichern Sie 2FA-Wiederherstellungscodes offline an einem sicheren Ort – nicht auf dem gleichen Gerät.

10

Keine Sicherheitsfragen verwenden

Geburtsname der Mutter, erste Schule – diese Infos sind oft öffentlich auffindbar. Verwenden Sie stattdessen zufällige Antworten.

FAQ

Häufig gestellte Fragen

Nein, Passwort-Generator, TOTP-Demo und Passwort-Stärketest laufen vollständig lokal in Ihrem Browser. Beim Passwort-Leak-Check werden nur die ersten 5 Zeichen des SHA-1-Hashes an die HIBP-API gesendet (k-Anonymity). Beim E-Mail-Check wird die E-Mail-Adresse an die HIBP-API übertragen – dies erfordert einen API-Key.
Entropy (Informationsentropie) misst den Grad der Unvorhersagbarkeit eines Passworts in Bits. Ein Passwort mit 80 Bit Entropy hat 2⁸⁰ mögliche Kombinationen – das sind über 1,2 Septillionen Möglichkeiten. Je höher die Entropy, desto mehr Versuche benötigt ein Angreifer zum Knacken. Ein gutes Passwort hat mindestens 80 Bit, empfohlen werden 100+ Bit.
Es kommt darauf an. Eine Passphrase mit 5+ zufälligen Wörtern bietet gute Sicherheit und ist deutlich leichter zu merken. Bei gleicher Entropy ist ein zufälliges Passwort jedoch kürzer. Der große Vorteil von Passphrasen: Sie können sie sich tatsächlich merken und tippen, was die Akzeptanz erhöht. Ideal ist die Kombination: Passphrase als Master-Passwort für den Passwort-Manager, zufällige Passwörter für alles andere.
Ändern Sie sofort das Passwort beim betroffenen Dienst und bei allen anderen Diensten, bei denen Sie dasselbe Passwort verwendet haben. Aktivieren Sie 2FA. Überprüfen Sie Ihre Konten auf verdächtige Aktivitäten. Wenn Kreditkartendaten betroffen waren, kontaktieren Sie Ihre Bank.
SMS-Codes werden über das Mobilfunknetz gesendet und können durch SIM-Swapping, SS7-Angriffe oder Social Engineering abgefangen werden. TOTP-Codes werden lokal auf Ihrem Gerät berechnet und sind somit nicht abhängig vom Mobilfunknetz. TOTP ist daher deutlich sicherer als SMS. Noch sicherer sind Hardware-Keys (FIDO2) oder Passkeys.
Ja! Immer mehr Dienste unterstützen Passkeys – darunter Google, Apple, Microsoft, GitHub, PayPal, Amazon und viele weitere. Sie können bereits heute beginnen, Ihre Konten auf Passkeys umzustellen. Eine aktuelle Liste finden Sie auf passkeys.directory.