MoreOnlineTools
ESC

Sicherheits-Audit-Kit

Ein 7-Schritte-Workflow zur Härtung der Sicherheit deiner Anwendung

Sicherheits-Audit-Kit

Dieser Workflow richtet sich an Entwickler und Systemadministratoren, die die Sicherheit einer Webanwendung oder Server-Umgebung auditieren und verbessern möchten. Folge den Schritten der Reihe nach, um Credential-Hygiene, Datenschutz und HTTP-Sicherheits-Header abzudecken. Am Ende wirst du die häufigsten Angriffsvektoren adressiert haben: schwache Passwörter, Klartextspeicherung, unverschlüsselte Daten und falsch konfigurierte Browser-Richtlinien.

7 Schritte ~20 Min. 7 Tools
01

Starke Zugangsdaten generieren

Schwache Passwörter sind die häufigste Ursache für Sicherheitsverletzungen. Generiere kryptografisch zufällige Passwörter für alle Service-Accounts, API-Schlüssel und Admin-Zugangsdaten.

Passwort-Generator
Generiere ein kryptografisch zufälliges Passwort mit mindestens 16 Zeichen, bestehend aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen.
Tool öffnen
02

Bestehende Passwörter testen

Bevor du einem bestehenden Passwort vertraust, bewerte es anhand von Entropie-Berechnungen und der Erkennung gängiger Muster. Alles unter 70 Bit Entropie sollte ersetzt werden.

Passwort-Stärke-Prüfer
Füge jedes bestehende Passwort hier ein, um seinen Entropie-Score zu messen und auf vorhersehbare Muster oder Wörterbuchwörter zu prüfen.
Tool öffnen
03

Passwörter für die Speicherung hashen

Speichere niemals Passwörter im Klartext. Bcrypt fügt automatisch ein Salt hinzu und ist bewusst langsam — jedes Hashing dauert Millisekunden für dich, macht Brute-Force-Angriffe aber prohibitiv teuer.

Bcrypt-Generator
Gib ein Passwort ein und generiere einen bcrypt-Hash mit einem geeigneten Cost-Faktor (12 empfohlen) zur Speicherung in deiner Datenbank.
Tool öffnen
04

Daten für Integrität hashen

Verifiziere Datei-Integrität, erstelle Prüfsummen für Deployments oder generiere deterministische Bezeichner. SHA-256 ist der Standard für Prüfsummen in Sicherheitskontexten.

SHA-256-Generator
Hashe Deployment-Artefakte, Konfigurationsdateien oder beliebige Daten, um eine Prüfsumme zu erstellen, die du nach Transfer oder Speicherung verifizieren kannst.
Tool öffnen
05

Sensible Daten verschlüsseln

Für Daten, die später wiederhergestellt werden müssen (im Gegensatz zu Hashes), ist AES-256 der Industriestandard. Verwende es zum Verschlüsseln von Tokens, Konfigurationswerten oder Daten, die außerhalb deiner Anwendung gespeichert werden.

AES-Verschlüsselung
Verschlüssele API-Tokens, geheime Schlüssel oder Konfigurationswerte mit AES-256, damit sie sicher gespeichert oder übertragen werden können.
Tool öffnen
06

Content Security Policy schreiben

CSP-Header verhindern XSS-Angriffe, indem sie steuern, welche Ressourcen Browser laden dürfen. Eine gut konfigurierte CSP ist eine der effektivsten Abwehrmethoden gegen Script-Injection.

CSP-Generator
Erstelle einen Content-Security-Policy-Header, indem du die Quellen auswählst, die deine Anwendung tatsächlich nutzt, und kopiere den Header-Wert in deine Server-Konfiguration.
Tool öffnen
07

CORS-Header konfigurieren

Falsch konfiguriertes CORS ist eine häufige API-Schwachstelle. Generiere präzise Header, die nur die vorgesehenen Ursprünge zulassen — ein Wildcard (*) auf einem credentialed Endpunkt ist ein kritischer Sicherheitsfehler.

CORS-Header-Generator
Lege erlaubte Ursprünge, Methoden und Header fest, um die exakten Access-Control-*-Header-Werte zu generieren, die deine API benötigt.
Tool öffnen

Profi-Tipps

  • Rotiere Zugangsdaten nach jedem Audit. Selbst ein starkes Passwort wird zur Schwachstelle, wenn es ein Jahr oder länger ohne Rotation genutzt wurde.
  • Verwende einen Cost-Faktor von 12 oder höher für bcrypt in der Produktion. Auf moderner Hardware kann Cost 10 schneller geknackt werden als erwartet, wenn die Rechenleistung wächst.
  • Teste deine CSP zuerst im Nur-Report-Modus (Content-Security-Policy-Report-Only), bevor du sie durchsetzt — eine falsch konfigurierte Policy kann deine gesamte Anwendung unbrauchbar machen.

Häufig gestellte Fragen

Hashing ist ein einseitiger Prozess: Du kannst einen Hash nicht in die Originaldaten zurückverwandeln. Es wird verwendet, um Integrität zu prüfen oder Passwörter zu speichern. Verschlüsselung ist zweiseitig: Daten können mit dem richtigen Schlüssel entschlüsselt werden. Nutze Hashing für Passwörter und Prüfsummen; nutze Verschlüsselung für Daten, die du später abrufen musst.

Mindestens 16 Zeichen für manuell eingetippte Passwörter und 32+ Zeichen für maschinell generierte Credentials wie API-Schlüssel. Länge trägt mehr zur Entropie bei als Zeichenvielfalt allein — eine 20-stellige Kleinbuchstaben-Zeichenkette ist stärker als eine 10-stellige gemischte.

Bcrypt ist für die Passwortspeicherung deutlich besser. SHA-256 ist darauf ausgelegt, schnell zu sein, was Brute-Force erleichtert. Bcrypt ist bewusst langsam und enthält ein eingebautes Salt, was es zur richtigen Wahl für die Speicherung von Benutzerpasswörtern macht. SHA-256 eignet sich für Prüfsummen und Datenintegrität, nicht für die Credential-Speicherung.

Nein, CSP reduziert das Risiko und die Auswirkungen von XSS erheblich, eliminiert es aber nicht vollständig. Eine schlecht geschriebene CSP mit zu breiten Regeln (wie unsafe-inline) bietet wenig Schutz. CSP funktioniert am besten als eine Schicht innerhalb eines Defense-in-Depth-Ansatzes, zusammen mit Input-Validierung und Output-Encoding.

Nein. Jedes Tool auf dieser Website läuft vollständig in deinem Browser. Deine Passwörter, Schlüssel und Daten verlassen niemals dein Gerät — nichts wird an einen Server gesendet. Du kannst das überprüfen, indem du die Internetverbindung trennst und die Tools verwendest; sie funktionieren weiterhin.

Sicherheit und Datenschutz

Ihre Datensicherheit ist unsere Priorität

Lokale Verarbeitung

Alle Verarbeitung erfolgt in Ihrem Browser

Keine Datenübertragung

Ihre Daten werden nicht an unsere Server gesendet

Keine Datenspeicherung

Es werden keine Daten gespeichert oder geteilt

SSL-Verschlüsselung

SSL-Verschlüsselung für sichere Verbindung