Alles bleibt in Ihrem Browser. Kein Passwort wird übertragen. Die Berechnung ist ganz lokal. Die einzige externe Anfrage ist eine anonyme Leck-Check (5 erste Hash SHA-1 Zeichen, nie Passwort).

Wissenschaftliche Quellen

Time2Crackbaut auf der wissenschaftlichen Forschung in Kryptographie, Computersicherheit und die Schätzung der Passwortstärke. Diese Seite listet die wissenschaftlichen Quellen auf, die unsere Algorithmen, Bewertungsmethoden und Kalibrierungen validieren.

Inhaltsverzeichnis

Schnelle Navigation

Abschnitt 1: Kennwortstärkeschätzung

Schätzung der Passwortstärke

Wheeler, D.L. (2016) zxcvbn: Low-Budget-Passwortstärkeschätzung. In Verfahren zum 25. USENIX Security Symposium (S. 157–173). USENIX Association. https://www.usenix.org/system/files/conference/usenixsecurity16/sec16
Relevanz: Gründungsmethodik für die realistische Schätzung der Passwortkraft. Wheeler (2016) sagt, dass Entropie-basierte Zähler (NIST, OWASP) die Sicherheit deutlich überschätzen. Time2CrackDieser Ansatz folgt: Kosten für den bekanntesten Angriff, nicht theoretische Entropie.
Pasquini, D., Kontinuierlich, A., Durmuth, M., & Buscher, M. (2021). Reduzierung von Bias in der Modellierung Echtzeit-Welt-Passwortstärke für Tree-basierte Modelle. In Verfahren des 30. USENIX Security Symposiums (S. 3007–3024). USENIX Association. http://arxiv.org/pdf/2105.14170.pdf
Relevanz: Kritische Analyse von Bias in Kennwortkraftmodellen. Zeigt, dass Datensätze die Ergebnisse vorspannen.Time2Crackverwendet rockyou2021 (32.6M gewichtete Passwörter) um diese Vorspannung zu minimieren.
Abschnitt 2: Metrics Evaluation

Bewertungsmethoden

Wang, D., & Ding, S. (2023). Kein Single Silver Bullet: Messung der Genauigkeit von Password Strength Meters. In Verfahren des 32. USENIX Security Symposiums (S. 2575–2592). USENIX Association. https://www.usenix.org/system/files/sec23fall-prepub-291 wang-ding.pdf
Relevanz: Große vergleichende Studie (USENIX 2023) von 12 Kennwortstärkemessgeräten von 14 realen Datensatz. Bestimmt:
  • Gewichte Spearman Korrelation ρ ist die Standardmetrie, um die Genauigkeit zu bewerten
  • Wissenschaftliches Ziel: ρ > 0,85 für gute Kalibrierung
  • Es besteht kein Zähler ohne Kompromiss (zxcvbn: ρ=0,76, Hive Systems: ρ=0,68)
Time2CrackZiel
Golla, M., & Dürmuth, M. (2018). Auf der Genauigkeit von Kennwortstärkemessgeräten. In Proceedings of the 25th ACM Conference on Computer and Communications Security (S. 1567-1580). ACM. https://maximiliangolla.com/files/2018/papers/ccsf285-finalv3.pdf
Relevanz: Systematische Bewertungsrahmen für Passwortstärkemessgeräte (2018). Empfehlen: Spearman Korrelation + Kullback-Leibler Divergenz für Offline-Angriffe. Time2Crackintegriert diese beiden Metriken.
Castelluccia, C., Durmuth, M., & Perito, D. (2017). Adaptive Passwort-Strength Meters vonMarkovModelle. In Verfahren des NDSS Symposiums. Internet Society. http://www.ndss-symposium.org/wp-content/uploads/2017/09/06 3.pdf
Relevanz: Introduces metric α-Guesswork (Gα) : Anteil der Passwörter, die mit G-Ansätzen geknackt wurden. Bewertung der praktischen Sicherheit des Modells.
Abschnitt 3: Angriffsmodelle

Angriffsmodelle

Ma, J., Yang, W., Luo, M., & Li, N. (2014). Eine Studie über probabilistische Passwort-Modelle. In Proceedings of the 35th IEEE Symposium on Security and Privacy (S. 689–704). IEEE. https://www.ieee-security.org/TC/SP2014/papers/A%20Study%20of%20Probabilistic%20Password%20Models.pdf
Relevanz: Grundlagenvergleich probabilistischer Modelle (Markov,PCFG, neural). Bestimmt, dass Angriffe durch Kombination von Wörtern durch naive Formeln unterschätzt werden (row multiplication = falsche Unabhängigkeitshypothese). Time2Crackkorrigiert das mit rockyou empirische Kalibrierung.
Dürmuth, M., Brostoff, S., & Oprea, A. (2015) Der Erfolg von Web-Anwendungen trotz der Schwierigkeit der Passwort-Erstellung Regeln. In Verfahren des 22. NDSS Symposiums. Internet Society. https://www.ndss-symposium.org/wp-content/uploads/2017/09/nds2015 09-4 durhmuth paper.pdf
Ur, B., Alfayez, P. G., Bhamasamy, S. M., & ... Cranor, L. F. (2015) Design und Auswertung eines Data-Driven Password Meters. In Proceedings of the ACM SIGCHI Conference on Human Factors in Computing Systems (S. 3775–3786). ACM. https://www.usenix.org/system/files/conference/usenixsecurity15/sec15-paper-ur.pdf
Abschnitt 4:MarkovundPCFG

ModelleMarkovundPCFG

Weir, M., Aggarwal, S., Collins, M., & Stern, H. (2009) Testing Metrics for Password Creation Richtlinien von Attaking Large Sets of Revealed Passwords. In Verfahren der 17. ACM-Konferenz zum Thema Computer- und Kommunikationssicherheit (S. 162–175). ACM. http://www.researchgate.net/publication/221614956
Relevanz: Methodik der StiftungPCFG(Probabilistic Context-Free Grammar). gegründet:
  • Strukturaufschlüsselung (L=Buchstabe, D=digit, S=symbol)
  • Skeleton Schwelle 20-50, um reale Strukturen zu erfassen
  • Validierung auf realen Datensätzen (LinkedIn, Yahoo, RockYou)
Time2Crackverwendet SKELETON THRESHOLD=100 (Revision auf 30-50 abnehmen).
Dürmuth, M., Freeman, D., & Yazan, B. (2014). Passwort-Bewertung mit Neural Networks. In Verfahren zum 25. USENIX Security Symposium. USENIX Association. https://courses.csail.mit.edu/6.857/2017/project/13.pdf
Houshmand, S., & Aggarwal, S. (2015) Nächster GenPCFGPasswort Cracking. In IEEE-Transaktionen zu Informationsforensik und Sicherheit, 10(8), 1776–91. IEEE. http://ieeexplore.ieee.org/document/7098389
Relevanz: Next-Gen Erweiterung vonPCFGmit Leistungsverbesserungen und Genauigkeit. Gültige VorgehensweisePCFGauf Millionen von Passwörtern.
Narayanan, A., & Shmatikov, V. (2005) SchnellDictionaryAngriffe auf Passwörter mit Time-Space Tradeoff. In Proceedings der 12. ACM Konferenz über Computer und Kommunikation Sicherheit (S. 364–372). ACM. http://www.usenix.org/legacy/event/sec05/tech/full papers/narayanan/narayanan.pdf
Relevanz: Grundlagen von Angriffen durch Wörterbuch und Nut Tabellen. Setzt das Wörterbuch + Mutationen über ~95% der Passwörter in der Praxis.
Abschnitt 5: Kalibrierung und Datensätze

Kalibrierung und Datensatz

Zhang, Y., Monrose, F., & Reiter, M. K. (2010). Die Sicherheit des modernen Passworts: Ein Algorithmischer Rahmen und empirische Studie. In Verfahren der 17. ACM-Konferenz zum Thema Computer- und Kommunikationssicherheit (S. 176-186). ACM. https://users.cs.jmu.edu/reiter/papers/10ccs.pdf
Nationales Institut für Normen und Technologie (NIST) 2024. SP 800-132: Kennwortbasierte Schlüsselableitungsfunktion (PBKDF2). US-Handelsministerium https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistsspecialpublication800-132.pdf
Nationales Institut für Normen und Technologie (NIST) 2024. SP 800-63-3: Digital Identity Guidelines - Authentication and Lifecycle Management. US-Handelsministerium https://pages.nist.gov/800-63-3/sp800-63b.html
Relevanz: NIST Empfehlungen zur Auswahl von Passwörtern und Hash-Algorithmen. gegründet:
  • bcrypt, scrypt, PBKDF2, Argon2 als akzeptable Algorithmen
  • MD5, SHA-1 ungesalzen sind nicht akzeptabel (Regenbogentabellen)
  • Wörterbücher von 100k+ empfohlenen Wörtern für Angriffe
Hive Systems 2025. Hive Systems Passworttabelle 2025. https://www.hivesystems.io/password-table
Relevanz: Industrial Benchmark Referenz mit 12× RTX 4090 GPUs. Time2Crackverwendet dieses Profil als Basislinie "erfahrener Angreifer" (12 GPU-Cluster).
Sprengers, Mr. (2011). GPU-basiertes Passwort-Cracking (Master's Thesis) Radboud Universität Nijmegen. http://www.ru.nl/
Relevanz: GPU Geschwindigkeitsstudie für Hash-Cracking. Setzt Benchmarks für MD5, SHA-1, NTLM, bcrypt mit moderner GPU.
Abschnitt 6: Hashsätze

Hash Geschwindigkeiten und Benchmarks

Projekt Hashcat 2025. Hashcat - Advanced Password Recovery (official Benchmarks v6.2.6). http://hashcat.net/hashcat/
Relevanz: Offizielle Hashcat Benchmarks auf RTX 4090 für alle Hash Algorithmen. Time2Crackverwendet diese Zahlen als einzelne GPU-Geschwindigkeiten und multipliziert sie um 12 für das erfahrene Profil.
Gosney, J. (2016) 8x Nvidia GTX 1080 Hashcat Benchmarks. GitHub Gist. https://gist.github.com/epixoip/
Relevanz: Erstes System über 330 GH/s NTLM (8 GPU-Cluster). Gültig von der Industrie als Multi-GPU Referenz.
Amazon Web Services 2024. Amazon EC2 P4d Proceedings - GPU Computing. https://aws.amazon.com/ec2/e instance-Typen/p4/
Relevanz: Kommerzielle GPU-Infrastruktur verfügbar (100-1000 GPU-Cluster). Time2Crackverwendet, um Profil "professionell" (~100 GPU).
Zusätzliche Hinweise

Zusätzliche Hinweise

Oechsle, D., Bauer, L., Grupe, J., &... Dauer, M. (2021). Auf dem Weg zu einer rigorosen statistischen Analyse des empirischen Passwort-Datensatzes. arXiv Vordruck arXiv:2105.14170. https://arxiv.org/abs/2105.14170
Klebanov, S., & Malone, D. (2012) Untersuchung der Verteilung der Passwortwahlen. In Verfahren der 21. Internationalen World Wide Web Conference (S. 569–578). ACM. http://www.maths.tcd.ie/~dwmalone/p/www2012.pdf
Castelluccia, C., Durmuth, M., & Perito, D. (2015) Passwort-Bewertung über Neural Language Modeling. In IEEE-Transaktionen zu Informationsforensik und Sicherheit, 10(6), 1285-1296. IEEE. https://link.springer.com/chapter/10.1007/978-3-030-30619-9 7
Asgharpour, F., Bardas, A.G., & Liu, D. (2017). Vergleichs- und Kombinationsmethode für die Spüranalyse. In Verfahren der KOLING (S. 1637-1648). ACL.

Update: 17. April 2026

← Zurück zu