Im Vergleich zu 2024 ist die Zeit, die zum Knacken von Passwörtern mit Grafikprozessoren (GPUs) für den Verbrauchersektor benötigt wird, um fast 20 Prozent gesunken. Ein achtstelliges Passwort, das nur aus Kleinbuchstaben besteht, kann jetzt in nur 3 Wochen geknackt werden. Das geht aus der von Hive Systems am World Password Day Anfang Mai veröffentlichten Passworttabelle 2025 hervor. Die IT-Sicherheitsfirma vertritt angesichts dieser Entwicklung die These einer "dramatischen Beschleunigung" der auf dem Markt leicht verfügbaren Rechenfähigkeiten, die auch zum Knacken von Kennwörtern verwendet werden kann, innerhalb eines Jahres.
Mittlerweile sei die Geschwindigkeit beim Knacken von Passwörtern durch den Einsatz von Hardware für Systeme mit Künstlicher Intelligenz (KI) im Vergleich zu Geräten für den Privatgebrauch um über 1,8 Milliarden Prozent gestiegen, meint Hive. Das liege am Boom insbesondere von großen Sprachmodellen wie ChatGPT, Gemini oder Claude, die mit vielen Daten trainiert werden müssen und daher auch sehr Hardware-hungrig sind.
"Wir erleben einen astronomischen Hochlauf der Rechenleistung", erklärt der CEO von Hive Systems, Alex Nette. Die heutige KI-Hardware verändere die Cybersicherheitsrisiken. Passwörter, die voriges Jahr noch sicher gewesen seien, könnten "heute in einem Bruchteil der Zeit geknackt werden".
Die Passworttabelle von Hive bietet einen jährlich aktualisierten Überblick darüber, wie schnell unterschiedliche Arten von Passwörtern – basierend auf Länge und Komplexität – von einem Angreifer mit moderner Hardware per Brute-Force-Methode geknackt werden können. Dabei werden systematisch alle erdenklichen Kombinationen von Zeichenkombinationen durchprobiert, bis ein korrektes Kennwort erraten ist. Je mehr Rechenkraft zur Verfügung steht, desto schneller läuft diese Abfrage.
Die Ergebnisse dieses Jahres spiegeln laut Hive die kombinierten Auswirkungen schnellerer GPUs, verteilten Cloud-Computings und KI-spezialisierter Hardware wider. Die Security-Experten sehen darin eine Erinnerung daran, "dass sich die Passworthygiene parallel zur Technologie weiterentwickeln muss". Kürzere, einfachere Passwörter, die früher jahrelang Bestand hatten, seien heute innerhalb von Monaten, Wochen oder sogar Tagen angreifbar. Dieses Zeitfenster werde mit der zunehmenden Rechenleistung immer kleiner.
Die Passworttabelle simuliert generell, wie lange es dauern würde, ein Passwort verschiedener Längen und Komplexitäten quasi mit roher Gewalt zu knacken. Als Berechnungsgrundlage zieht Hive 2025 in der Regel zwölf Nvidia GeForce RTX 5090 heran, die als aktuell stärkste Consumer-GPUs eine große Menge an Rechenleistung zur Verfügung stellen. Voriges Jahr setzten die Experten zwölf Exemplare des Vorgängermodells RTX 4090 an, also deutlich weniger Rechenpower.
Wenn Angreifer in die IT-Systeme eines Unternehmens eindringen und sich Zugriff auf einschlägige Datenbanken verschaffen, bekommen sie in der Regel diese Hashes in die Finger – nicht die Passwörter im Klartext. Ein Hash-Digest wie 5f4dcc3b5aa765d61d8327deb882cf99 könne nicht zurückgerechnet werden, um das Wort "Passwort" zu erzeugen, das zu seiner Erstellung verwendet wurde. Angreifer erzeugen also für alle möglichen Buchstaben-/Zahlenkombinationen Hashes und vergleichen diese mit den erbeuteten. Das gehe prinzipiell mit jedem Computer, laufe aber deutlich schneller ab, wenn der Vorgang mit leistungsstarken Grafikkarten beschleunigt werde. Für das Erstellen der Tabelle setzt Hive den mittlerweile gängigen bcrypt-Algorithmus als Hashfunktion ein und wählt den Kostenfaktor 10 (32768 Iterationen).
Unter diesen Voraussetzungen ist eine PIN mit acht Ziffern laut der Tabelle mit zwölf RTX-5090-GPUs in einer Viertelstunde geknackt. Kommen zusätzlich Groß- und Kleinbuchstaben sowie Symbole und Sonderzeichen zum Einsatz, brauchen Rechner mit 12 solcher Grafikkarten immerhin 165 Jahre.
Im halbwegs grünen Bereich befinden sich Nutzer in dieser Konstellation bei einem 13-stelligen Passwort. 56 Milliarden Jahre soll es damit aktuell dauern, bis ein entsprechendes Kennwort geknackt ist. Die Tabelle aus dem Vorjahr ist mit der aktuellen nicht direkt vergleichbar, da Hive dafür nur den Einsatz einer RTX-4090-GPU sowie den bcrypt-Kostenfaktor 5 ansetzte.
Was wäre nun, wenn jemand ganz viel Geld ausgeben und eine Armee an Hochleistungsgrafikkarten in Stellung bringen würde? OpenAI soll ChatGPT-4 mithilfe von 20.000 A100 Tensor-Core-Grafikprozessoren von Nvidia trainiert haben. Damit wäre laut der Tabelle eine vier- bis zehnstellige PIN nur aus Zahlen praktisch instantan zu knacken. Mehr als ein durchschnittliches Menschenleben, nämlich 112 Jahre, dauert es bei einem zehnstelligen Passwort mit Groß- und Kleinbuchstaben. Ein vierzehnstelliges Passwort mit Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben zu knacken, dauert selbst mit geballter GPU-Rechenpower 52 Milliarden Jahre.
Die Tabelle stellt allgemein die maximale Zeit dar, die für eine reine Brute-Force-Attacke benötigt wird. Andere Angriffsmethoden wie Wörterbuchattacken, Rainbow Tables oder die Ausnutzung von gestohlenen Passwortdatenbanken können in der Realität oft schneller zum Erfolg führen, insbesondere wenn Kennungen bereits kompromittiert wurden. Der Fokus der Übersicht liegt insgesamt auf Aufklärung.
(
Kommentare