Alles bleibt in Ihrem Browser. Kein Passwort wird übertragen. Die Berechnung ist ganz lokal. Die einzige externe Anfrage ist eine anonyme Leck-Check (5 erste Hash SHA-1 Zeichen, nie Passwort).

Häufig gestellte Fragen

Technische Funktion verstehen →

Wie kann ich den Widerstand meines Passworts messen?

Time2Crackist ein freier Passwort-Resistenz-Schätzer die die Robustheit Ihres Passworts gegen echte Computerangriffe misst.

Dreistufiges Bewertungsverfahren

  1. Geben Sie Ihr Passwort ein im WerkzeugfeldTime2Crack. (Ihr Passwort bleibt ganz auf Ihrem Computer — keine Übertragung)
  2. Klicken Sie auf "Analyse" um die Widerstandsanalyse auszulösen. Das Tool testet Ihr Passwort gegen 7 Arten von realistischen Computerangriffen: Rohkraftangriff, Wörterbuch, Hybrid, Maske,Markovprobabilistisch,PCFGgrammatisch und Wortkombinator.
  3. Lesen Sie die Ergebnisse : Das Tool zeigt die geschätzte Zeit, um Ihr Passwort mit jedem der 6 Hash-Algorithmen zu knacken (MD5, SHA-1, SHA-256, NTLM, bcrypt, Argon2id).

Zwischenergebnisse

Time2Crackzeigt zwei Hauptmaßnahmen:

  • "Crack Time" : Wie lange dauert es einen durchschnittlichen Angreifer (12 moderne GPU) um Ihr Passwort zu knacken.
    • Ausgezeichnet. > 100 Jahre
    • Sehr gut 1 Jahr – 100 Jahre
    • Akzeptabel : 1 Tag – 1 Jahr
    • Niedrig < 1 Tag
    • Ultra-low < 1 Sekunde
  • "Fast Attack" : Welche Art von Angriff wird Ihr Passwort zuerst knacken. Beispielsweise wird ein einfaches Wörterbuch-Passwort durch ein Wörterbuch-Angriff, während eine Passphrase (4+ Wörter) wird durch Combiner-Angriff.

Warum diese Maßnahme wissenschaftlich ist

Time2Cracknicht messentheoretische Entropie (traditioneller NIST-Ansatz), der Passwörter überschätzt, indem man menschliche Muster ignoriert. Stattdessen betrachtet er die praktische Angriffskosten auf Basis von:

  • Wissenschaftliche Forschung (Wheeler 2016, Wang & Ding 2023, Weir 2009) validiert 7 echte Angriffe
  • Empirische Daten rockyou2021 (32.6M echte Passwörter) um probabilistische Modelle zu kalibrieren
  • Offizielle GPU-Benchmarks (Hashcat v6.2.6, Hive Systems 2025) für Rißgeschwindigkeiten

Das bedeutet, Time2Crackgenauer wahrnehmen reale Sicherheit eine traditionelle visuelle Kraftleiste.

Schritte, um Ihre Bewertung zu verbessern

Wenn Ihr Passwort niedrig bewertet wird, verbessern Sie es wie folgt:

  1. Die Länge erhöhen : Erhöhen von 8 bis 12+ Zeichen. Jedes zusätzliche Zeichen multipliziert die Schwierigkeit um ~70 (durchschnittliche Anzahl der Zeichen).
  2. Verwenden Sie eine Passphrase (empfohlen): 4-5 zufällige Wörter durch Striche oder Leerzeichen getrennt. Beispiel: correct-horse-battery-staple Dies ist sicherer und unvergesslicher als ein komplexes Wort.
  3. Vermeiden Sie menschliche Muster : Nicht kombinieren "Name + Jahr" (z.B. Jean1985). Time2Crackerkennt diese Muster und knackt sie in Sekunden durch AngriffPCFG.
  4. Verwenden Sie einen Passwort-Manager : Lassen Sie einen Manager erzeugen eine 16-32 Zeichen zufällige String. Time2CrackSie wird auf mehr als 10.000 Jahre geschätzt und garantiert maximale Sicherheit.

Schlüsselberatung : Suchen Sie keine perfekte visuelle Kraftleiste. Bruchzeit > 100 Jahre für ein kritisches Passwort (E-Mail, Bank). Ein 4-Worte-Passphrase gelingt einfach, während ein 12-Kennzeichen Wort je nach Zusammensetzung ausfallen kann.

Was ist los?Time2Crack?
Time2Crackist ein Passwort-Cracking-Zeitrechner. Es schätzt, wie lange es einen Angreifer nehmen würde, um Ihr Passwort mit 7 verschiedenen Angriffen zu erraten (Rohkraft, Wörterbuch, Hybrid, Maske,Markov,PCFG, Kombinator). Das Werkzeug berechnet vollständig auf Ihrem Computer - Ihr Passwort verlässt nie Ihr Gerät.
Sind meine Daten sicher?

Ja.Time2CrackWerke 100% lokal in Ihrem Browser. Kein Passwort wird an unsere Server gesendet. Wir tun nur eine optionale Prüfung: Überprüfen Sie via Have I Been Pwned (HIBP), wenn Ihr Passwort in alten Lecks bekannt ist. k-Anonymität (wir senden nur die ersten 5 Zeichen des SHA-1 Hash, nie das volle Passwort).

Konkretes Beispiel: Wie k-Anonymität funktioniert

Für das Passwort password :

  • Komplett Hash SHA-1 (lokal, nie übertragen): 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8
  • Präfix an HIBP gesendet: 5BAA6 (nur 5 Zeichen)
  • Suffix lokal konserviert (nicht übertragen): 1E4C9B93F3F0682250B6CF8331B7EE68FD8
  • HIBP gibt alle Hashs ab 5BAA6 (~500-1000 anonyme Ergebnisse)
  • Time2CrackLokal vergleicht das Suffix mit den Antworten, nur auf Ihrem Computer

Ergebnis: Das volle Passwort lässt nie Ihr Gerätsogar während der HIBP-Verifikation.

Warum variieren Zeitvorausschätzungen je nach Hash-Algorithmus?
Verschiedene Hash-Algorithmen haben sehr unterschiedliche Rissgeschwindigkeiten. MD5 und SHA-1 (unsalted) sind schnell zu knacken (~2 Milliarden Versuche/Sekunde), während bcrypt und Argon2id freiwillig langsam sind (~2 Millionen und ~800 Versuche/Sekunde).Time2Crackzeigt Zeit für jeden Algorithmus, so verstehen Sie die Bedeutung der Verwendung bcrypt oder Argon2id für kritische Passwörter.
Was ist "Kreuzkraft", "Diktionär", etc.?
Dies sind die 7 Arten von realen Angriffen, die Piraten verwenden:
  • Bruttowertschöpfung : testen Sie jede mögliche Kombination (langsam für lange Passwörter)
  • Wörterbuch : Prüfen Sie gemeinsame Wörter und bekannte Lecks (fast für einfache Wörter)
  • Hybride) : Wörterbuch + kleinere Mutationen (z.B. Passwort → p@ssw0rd)
  • Maske Zielvorhersagbare Strukturen (z.B. Name + Jahr)
  • Markov : Analyse der Wahrscheinlichkeiten von Sequenzen (ex: "qu" current in Französisch)
  • PCFG : Grammatische Strukturen (z.B. Majuscule+minuscules+figures)
  • Kombinationen : Konkrete Wörter (ex: "korrect-horse-battery-staple")
Was ist "vorteilhaft" gegen "Standard"?
Standard : glaubt optimistisch, dass der Angreifer den bekanntesten Angriff nutzt. Vorzüglich : vermutet, dass der Angreifer nur das Wörterbuch und einfache Mutationen (das günstigste Szenario für Ihr Passwort) testet. In der Praxis sind diese beiden Schätzungen oft ähnlich, wie die besten Angreifer testen alle Methoden parallel.
Mein Passwort ist mit "Ultra-weak" gekennzeichnet.
Ein ultra-niedriges Passwort (in weniger als einer Sekunde gecrackt) bedeutet, dass es in den häufigsten Passwortlisten enthalten ist. Ändern Sie es sofort. Verwenden Sie stattdessen:
  • Ein Passphrasen (4+ zufällige Wörter, die durch Leerzeichen getrennt werden, z.B. "korrect-horse-battery-staple")
  • Ein zufällig generiertes Passwort (mindestens 12 gemischte Zeichen)
  • Ein Passwort vergessen? (Bitwarden, 1Passwort, KeePass, etc.)
Wie erstelle ich ein sicheres Passwort?
Die drei Ansätze:
  1. Passphrasen (empfohlen): 4-5 häufige zufällige Wörter (z.B. "sun-table-computer-flower"). Einfach zu merken, sehr sicher (~10.000+ Jahre, wenn zusätzliche Zahlen).
  2. Zufällig : 16+ Zeichen (Majuscules, winzige Figuren, Symbole). Cracking dauert 10.000+ Jahre.
  3. Passphrasen + Mutation "Sun2024!" (passphrase + Jahr + Symbol). Kombiniert Sicherheit und Gedächtnis.
Warum ist ein kurzes Passwort mit Symbolen nicht genug?
Beispiel: "P@ssw0rd!" (10 Zeichen) kann in ein paar Tagen mit bcrypt geknackt werden. Selbst mit Symbolen bleibt ein kurzes Wort verletzlich, weil es einem folgt vorhersehbares Muster (majuscule + winzig + Ziffern + Symbol).PCFGEin 4-Worte-Passphrase ist sicherer als ein "komplexes" Kurzwort.
Was, wenn ich einen Passwort-Manager benutze?
Exzellente Wahl! Manager (Bitwarden, 1Password, KeePass) erzeugen zufällige Passwörter von 16-32 Zeichen, die Sie nicht einprägen müssen.Time2Crackdie Rißzeit zu schätzen 10.000+ Jahre für ein zufällig generiertes Wort. solid passphrase to entlock manager.
Können meine Schätzungen falsch sein?
Time2Crackverwendet die besten verfügbaren öffentlichen Daten (rockyou2021, NIST, akademische Forschung), um seine Schätzungen zu kalibrieren. Der typische Fehler ist ±1 Größenordnung (d.h. 10× schneller/kleiner als Realität). Angriff mit 12× RTX 4090 — ein echter Angreifer kann je nach seinen Ressourcen 100× langsamer oder 10.000× schneller sein. Argon2id sind zuverlässiger (kleiner, weniger Variation).
Warum?Time2Crackzeigt sieben verschiedene Angriffe?
Weil jedes Passwort ist anfällig für einen anderen Angriff. "Passwort" fällt in 1 Versuch (diktionär). "P@ssw0rd!" fällt in ~10.000 Versuche (hybrid +PCFG) "a1b2c3d4e5f6g7h8" fällt nur in grober Kraft (~10^30 Versuche).Time2Crackidentifiziert der beste Angriff auf Ihr Passwort und zeigt die Zeit für jeden Hash-Algorithmus an.
Die Method-Seite erklärt, wie es funktioniert?
Ja! Methode (über Menü erreichbar) Details:
  • Wie jeder Angriff funktioniert (mit Beispielen)
  • Datenquellen verwendet (rockyou, NIST, Hive Systems)
  • Einschränkungen und Annahmen
  • Wissenschaftliche Forschung, die unsere Schätzungen validiert
Darf ich benutzen?Time2CrackAus der Linie?
Ja!Time2Crackfunktioniert komplett offline, sobald geladen.Markov,PCFG) werden einmal beim Start heruntergeladen. Sie können dann das Internet schließen —Time2Crackfunktioniert weiterhin normal.
Wie lange kann ein "gutes" Passwort geknackt werden?
Mit einer konservativen Schätzung:
  • 8 zufällige Zeichen : ~8 Stunden (MD5) / ~3 Jahre (bcrypt)
  • 12 zufällige Zeichen : ~2.000 Jahre (MD5) / ~1 Million Jahre (bcrypt)
  • 16 zufällige Zeichen : ~2 Millionen Jahre (bcrypt)
  • Passphrase 4 Wörter + Symbol : ~ 10,000+ years (bcrypt)
Verwendung bcrypt oder Argon2id für alle kritischen Passwörter.
Time2CrackIst es Open Source?
Ja! Der Quellcode ist auf Codeberg verfügbar.Time2Crackhat 0 Abhängigkeit — es ist reines JavaScript, keine Bündel oder Schwitzen. Sie können den Code selbst überprüfen, um zu bestätigen, dass kein Passwort übertragen wird.