PASSWIZARD.NET
Sicherheitsanalyse

Wie lange dauert es, ein Passwort zu knacken? Die echten Zahlen

Von Torsten Schubert, Monswyk AGZuletzt aktualisiert: Juli 2026

Ein 8-Zeichen-Passwort mit Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen fühlt sich stark an. Gegen moderne Cracking-Hardware hält es etwa 51 Minuten.

Vier Zeichen mehr — sonst nichts — und derselbe Angriff braucht rund 8.000 Jahre.

Passwizard ist um diese Mathematik herum gebaut. Diese Seite zeigt die tatsächlichen Zahlen: wie sich Passwortlänge und Zeichenwahl in Knackzeit übersetzen, von welchen Annahmen diese Zahlen abhängen — und wo die Marketing-Behauptungen anderer Seiten auseinanderfallen.

Methodik

So wird die Knackzeit berechnet

Die Stärke eines zufälligen Passworts ist seine Entropie, gemessen in Bit:

Entropie = Länge × log₂(Alphabetgröße)

Ein Passwort aus allen vier Zeichenklassen schöpft aus 94 Zeichen (26 Großbuchstaben + 26 Kleinbuchstaben + 10 Ziffern + 32 Sonderzeichen); jedes Zeichen bringt log₂(94) ≈ 6,55 Bit. Ein Angreifer muss im Schnitt die Hälfte aller Kombinationen durchprobieren:

Zeit = (Alphabetgröße ^ Länge) ÷ 2 ÷ Versuche pro Sekunde

Alles hängt dann an den Versuchen pro Sekunde — und die unterscheiden sich je nach Angriff um den Faktor zehn Milliarden:

AngriffsszenarioVersuche/SekundeWann es zutrifft
Online-Angriff~100Angreifer probiert Logins am laufenden Dienst; Rate-Limiting bremst
Offline, langsamer Hash (bcrypt)~100.000Eine Datenbank mit modernem Passwort-Hash wurde gestohlen
Offline, schneller Hash (NTLM/MD5) auf GPU-Rig~10¹²Eine Datenbank mit schwachem oder veraltetem Hashing wurde gestohlen — der realistische Worst Case

Die Tabellen unten nutzen den Worst Case (10¹² Versuche/Sekunde, konsistent mit veröffentlichten Hashcat-Benchmarks aktueller Multi-GPU-Systeme und der vielzitierten Hive-Systems-Tabelle). Wenn eine Zahl hier von anderen Quellen abweicht: Fast immer liegt es an anderen Annahmen zu Hash und Hardware.

Die Zahlen

Zufallspasswörter, alle Zeichenklassen (94 Zeichen)

Mittlere Knackzeit, Worst-Case-Angreifer (10¹² Versuche pro Sekunde):

LängeEntropieKnackzeit
8 Zeichen52 Bit51 Minuten
10 Zeichen66 Bit312 Tage
12 Zeichen79 Bit8.000 Jahre
16 Zeichen105 Bit589 Mrd. Jahre
20 Zeichen131 Bit4,6 × 10¹⁹ Jahre
32 Zeichen210 Bit2 × 10²² Jahre

Zum Vergleich: Das Universum ist 1,4 × 10¹⁰ Jahre alt. Deshalb steht unser Generator standardmäßig auf 32 Zeichen — nicht weil 16 knackbar wären, sondern weil zusätzliche Sicherheitsmarge nichts kostet, wenn ohnehin der Passwort-Manager tippt.

Verbreiteter Irrtum

Länge schlägt Komplexität — der Beweis

Verbreiteter Glaube: Sonderzeichen machen Passwörter stark. Die Mathematik sagt: Länge zählt weit mehr.

PasswortEntropieKnackzeit (GPU-Rig)
8 Zeichen, alle Klassen (K9#mP2@v)52 Bit51 Minuten
12 Zeichen, nur Kleinbuchstaben56 Bit13 Stunden
16 Zeichen, nur Kleinbuchstaben75 Bit691 Jahre
20 Zeichen, nur Kleinbuchstaben94 Bit316 Mio. Jahre

Zwanzig Kleinbuchstaben schlagen acht „maximal komplexe“ Zeichen um mehr als den Faktor drei Milliarden. Das deckt sich mit NIST SP 800-63B: Länge priorisieren, erzwungene Komplexitätsregeln streichen.

Eine entscheidende Einschränkung: Diese Rechnung gilt nur für zufällige Zeichen. „sonnenblumewiese2024“ hat 20 Zeichen, besteht aber aus Wörterbuch-Wörtern — ein Wortlisten-Angriff findet es in Minuten. Länge gewinnt nur bei echtem Zufall. Genau dafür gibt es Generatoren.

Alternative

Passphrasen: die merkbare Alternative

Für das eine Passwort, das man sich merken muss — das Master-Passwort des Passwort-Managers — ist eine Passphrase aus zufällig gezogenen Wörtern das bessere Werkzeug:

Wörter (EFF-Liste, 7.776 Wörter)EntropieKnackzeit (GPU-Rig)
4 Wörter52 Bit30 Minuten
5 Wörter65 Bit165 Tage
6 Wörter77 Bit4.000 Jahre
7 Wörter90 Bit27 Mio. Jahre

Sechs Zufallswörter entsprechen zwölf Zufallszeichen (77 vs. 79 Bit) — aber „kaktus-murmel-sparsam-zwiebel-schein-vers“ kann man sich merken und tippen. Wichtig: Die Wörter müssen aus einer Zufallsziehung stammen — unser Passphrasen-Modus macht das lokal im Browser — nie aus dem eigenen Kopf. Von Menschen „zufällig“ gewählte Wörter ballen sich um wenige tausend häufige.

Passphrasen-Generator öffnen

Bedrohungsmodell

Woran Passwörter wirklich scheitern

Brute Force gegen ein starkes Passwort ist der Angriff, der nicht stattfindet. Reale Kompromittierungen laufen über:

01

Wiederverwendung

Ein bei Dienst A geleaktes Passwort wird überall sonst durchprobiert („Credential Stuffing“). Milliarden geleakter Zugangsdaten kursieren in Sammlungen wie den bei Have I Been Pwned indexierten. Ein Passwort pro Konto ist nicht verhandelbar.

Passwort gegen bekannte Leaks prüfen (k-Anonymität — es verlässt den Browser nicht)

02

Phishing

Keine Entropie hilft, wenn man das Passwort auf einer gefälschten Seite eintippt. Dafür gibt es Zwei-Faktor-Authentifizierung.

Wie 2FA dich schützt

03

Menschliche Muster

„Winter2026!“ erfüllt jede Komplexitätsregel, die eine Website verlangen kann — und fällt sofort einem regelbasierten Wortlisten-Angriff zum Opfer.

Deshalb haben wir auch „Passwörter alle 90 Tage ändern“ aus unseren Empfehlungen gestrichen: NIST rät seit 2017 von erzwungener Rotation ab, weil sie vorhersagbare Muster erzeugt (Winter2026! → Frühling2027!). Geändert wird bei Verdacht auf Kompromittierung — nicht nach Kalender.

Transparenz

Wie Passwizard Passwörter erzeugt

  • Der Zufall kommt aus der Web Crypto API (crypto.getRandomValues()), dem kryptografisch sicheren Generator des Browsers — nicht aus Math.random().
  • Die Erzeugung läuft vollständig im Browser. Nichts wird übertragen oder gespeichert — nachprüfbar im Netzwerk-Tab des Browsers.
  • Wir nutzen Rejection Sampling gegen Modulo-Bias, damit jedes Zeichen exakt gleich wahrscheinlich ist.
  • Die Entropie- und Knackzeit-Anzeige im Generator nutzt dieselben Formeln wie diese Seite.

Generator ausprobieren

Passende Tools

Vervollständige dein Security‑Setup

Kombiniere diese kostenlosen Tools für Ende‑zu‑Ende‑Schutz. Alles läuft lokal oder mit strengen Privacy‑Garantien.

FAQ

Häufige Fragen

Reichen 12 Zeichen 2026 noch aus?

Gegen Offline-GPU-Angriffe hält ein zufälliges 12-Zeichen-Passwort (79 Bit) rund 8.000 Jahre — für die meisten Konten genügt das. Für Master-Passwort und E-Mail-Konto empfehlen wir mehr Marge: 16+ Zeichen oder eine 6-Wort-Passphrase, denn diese Konten entsperren alle anderen.

Ändern Quantencomputer diese Rechnung?

Für das Knacken von Passwörtern auf absehbare Zeit nicht wesentlich. Grovers Algorithmus würde die effektive Entropie theoretisch halbieren — deshalb sind 128+ Bit (20+ Zufallszeichen) ein komfortables Langfrist-Ziel, das unser 32-Zeichen-Standard bereits übertrifft.

Warum zeigen andere Seiten andere Knackzeiten?

Andere Annahmen: Hash-Algorithmus (bcrypt vs. NTLM = Faktor zehn Millionen), Hardware, Mittelwert vs. Worst Case. Unsere Annahmen stehen im Methodik-Abschnitt oben — jede Zahl lässt sich nachrechnen.