Wachtwoordsterkte-checker

Wat is Wachtwoordsterkte-checker?

De Wachtwoordsterkte-checker is een gratis tool in de browser die inschat hoe goed een wachtwoord bestand is tegen raden. Hij gebruikt zxcvbn, een realistische sterkteschatter die woordenboekwoorden, veelgebruikte wachtwoorden, toetsenbordpatronen, herhalingen en datumreeksen herkent in plaats van alleen tekenklassen te tellen. Ontwikkelaars, beveiligingsbewuste gebruikers en iedereen die een nieuw account aanmaakt gebruiken hem om een wachtwoord te controleren voordat ze erop vertrouwen: de score (0 tot 4) komt overeen met een sterkte-label, de scenariokiezer voor kraaktijd wisselt tussen een online aanval met snelheidslimiet, een online aanval zonder limiet, een trage offline hash en een snelle offline hash, en de waarschuwings- en suggestieregels vertellen je precies wat een zwak wachtwoord zwak maakt. Omdat niets de pagina verlaat, is het veilig om echte wachtwoorden te testen.

Wachtwoordsterkte-checker gebruiken

1. Typ of plak een wachtwoord in het veld Wachtwoord; de analyse werkt zichzelf bij terwijl je typt.
2. Lees de Score (0 tot 4) en het bijbehorende sterkte-label om het wachtwoord in één oogopslag te beoordelen.
3. Open Instellingen en kies een Aanvalsscenario om de geschatte kraaktijd onder dat dreigingsmodel te zien.
4. Bekijk de kraaktijd, entropie en het aantal pogingen voor een kwantitatief beeld van de sterkte.
5. Lees de waarschuwing en suggesties, pas dan het wachtwoord aan en zie elke waarde bijwerken.

Voorbeelden

password123

Score 0 (Zeer zwak); waarschuwing: het lijkt op een veelgebruikt wachtwoord; kraaktijd in het scenario snelle offline hash: minder dan een seconde.

P@ssw0rd

Score 1 (Zwak); voorspelbare vervangingen helpen weinig; suggestie: voeg nog een of twee woorden toe.

correct-horse-battery-staple-92!

Score 4 (Zeer sterk); hoge entropie; kraaktijd in het scenario trage offline hash: eeuwen.

Veelgestelde vragen

Wordt mijn wachtwoord ergens naartoe gestuurd?

Nee. Het wachtwoord wordt volledig in je browser geanalyseerd door een bibliotheek die op aanvraag wordt geladen. Niets van wat je typt wordt geüpload, gelogd of op een server opgeslagen, dus de tool werkt offline en het is veilig om hier echte wachtwoorden te testen.

Wat betekent de score van 0 tot 4?

Het is de zxcvbn-score. 0 is zeer zwak en makkelijk te raden, 1 beschermt alleen tegen online raden met snelheidslimiet, 2 tegen online raden zonder limiet, 3 biedt matige bescherming tegen een trage offline kraak en 4 is sterk tegen een trage offline kraak. Streef naar 3 of 4 voor alles wat ertoe doet.

Waarom verandert de kraaktijd als ik van scenario wissel?

De kraaktijd hangt af van hoe snel een aanvaller kan raden. Een online login met snelheidslimiet staat maar heel weinig pogingen toe, terwijl een gestolen database met een snelle hash miljarden keren per seconde kan worden aangevallen. Met de Aanvalsscenario-kiezer zie je de schatting onder elk van deze dreigingsmodellen.

Wat zijn de entropie en het aantal pogingen?

Het aantal pogingen is ongeveer hoeveel een aanvaller er nodig zou hebben; de entropie is de orde van grootte daarvan in basis 10, een compacte manier om wachtwoorden te vergelijken. Beide zijn schattingen op basis van de structuur van het wachtwoord, geen garantie, maar hoger is beter.

Garandeert een hoge score dat mijn wachtwoord veilig is?

Geen enkele tool kan veiligheid garanderen. De score schat de weerstand tegen veelgebruikte raadstrategieën, maar een sterk wachtwoord op meerdere sites hergebruiken, phishing of een lek kunnen het alsnog blootleggen. Gebruik per site een uniek wachtwoord en waar mogelijk een wachtwoordmanager.