Jahr für Jahr veröffentlicht das US-Unternehmen Hive Systems eine Tabelle, die ebenso populär wie beunruhigend ist: Sie zeigt, wie schnell Passwörter geknackt werden können – in Abhängigkeit von deren Länge, Komplexität und dem Stand der verfügbaren Rechenleistung. Was als bunte Infografik beginnt, offenbart beim näheren Hinsehen eine stille Krise moderner IT-Sicherheit.
2025 fällt die Prognose düsterer aus denn je. Der Grund liegt nicht nur in der gestiegenen Rechenleistung, sondern vor allem in der wachsenden Professionalisierung und Demokratisierung von Angriffstechnologien. Während noch vor wenigen Jahren ein einzelner Angreifer mit einer halbwegs potenten Grafikkarte und Open-Source-Tools wie Hashcat experimentierte, operieren heute Gruppen mit Cloud-Ressourcen, die dem Trainings-Setup großer KI-Modelle wie ChatGPT ähneln – etwa 20.000 GPUs auf einmal.
Doch die eigentliche Sensation der aktuellen Ausgabe liegt in einer technischen Feinheit: Zum ersten Mal wird nicht mehr pauschal mit der Hashfunktion MD5 gerechnet, sondern mit bcrypt – einem deutlich ressourcenintensiveren, in der Praxis jedoch weit verbreiteten Verfahren. Dabei berücksichtigt Hive Systems realistische Parameter aus verbreiteten Frameworks wie PHP, Laravel oder Auth0, wo bcrypt mit 10 bis 12 Runden als Standard gesetzt ist. Für die Berechnung wurde ein Angreifer mit 12 RTX 5090 GPUs simuliert – dem derzeitigen Maßstab für Hochleistungs-GPU-Setups im Consumer-Bereich.
Was bedeutet das konkret? Selbst bei achtstelligen, zufällig generierten Passwörtern zeigt die Tabelle eine Crackingzeit von maximal einigen Monaten – wohlgemerkt unter der Annahme einer sicheren Hashfunktion. In der Realität, wo viele Passwörter auf Wörterbuchwörtern, Namenskombinationen oder Wiederverwendung basieren, fällt die Sicherheit rapide ab. Ein einmal geleakter Hash kann durch Rainbow-Tables oder Wortlistenangriffe deutlich schneller enttarnt werden.
Das Spannende an der diesjährigen Veröffentlichung ist jedoch weniger die reine Rechenleistung, sondern die konzeptionelle Breite, mit der Hive Systems vorgeht. Es wird nicht nur simuliert, wie lang ein Brute-Force-Angriff auf einen Hash dauern würde, sondern auch reflektiert, wie realistisch diese Szenarien angesichts globaler Breaches, zentralisierter Passwortmanager und zunehmender KI-beschleunigter Angriffstechniken sind.
Ein weiteres kritisches Thema ist das sogenannte „Salting“, also das gezielte Einbringen zusätzlicher Entropie vor dem Hashing. Bcrypt bringt dieses Feature glücklicherweise bereits mit – anders als frühere Verfahren wie MD5, die heute de facto als unsicher gelten. Dennoch bleibt ein Restrisiko, insbesondere wenn Passwörter mehrfach oder in schwacher Variation über verschiedene Plattformen hinweg genutzt werden.
Die Hive-Tabelle erinnert uns schmerzhaft daran, dass IT-Sicherheit immer eine Momentaufnahme ist – geprägt von den Schwächen der Gegenwart und den Stärken der Angreifer von morgen. Die Vorstellung, man könne mit einem einmal gesetzten Passwort „auf der sicheren Seite“ sein, ist trügerisch. Vielmehr ist ein kontinuierliches Risikobewusstsein gefragt, verbunden mit der Bereitschaft, kryptografische Verfahren zu verstehen – oder zumindest den Empfehlungen kluger Köpfe zu folgen, die diese Tabellen Jahr für Jahr veröffentlichen.
Nun, da GPU-Farmen, KI-basierte Angriffsmodelle und geleakte Datensätze zum Alltag gehören, wird Passwortsicherheit nicht durch Hoffnung, sondern durch Mathematik und Methodik bestimmt. Die Frage lautet also nicht: „Ist mein Passwort sicher?“, sondern: „Wie lange ist es sicher – und gegen wen?“
Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
- Die Einziehung von Taterträgen beim untauglichen Versuch - 22. Mai 2025
- Russische Cyberangriffe auf westliche Logistik- und Technologieunternehmen 2025 - 22. Mai 2025
- Keine Schweigepflicht im Maßregelvollzug - 21. Mai 2025