Per GPU geknackt: 8-Zeichen-Passwörter reichen nicht mehr

Passwörter mit einer Länge von mindestens 8 Zeichen gelten seit Jahren als sicher, sofern sie zugleich eine hohe Komplexität aufweisen. Ein neuer Bericht des Cybersecurity-Unternehmens Hive Systems zeigt jedoch, dass sich 8-Zeichen-Passwörter je nach verwendetem Hashing-Algorithmus und verfügbarer GPU-Leistung inzwischen in einer überschaubaren Zeit knacken lassen.

Wer beispielsweise im Besitz einer Nvidia-Grafikkarte vom Typ RTX 4090 ist, kann ein zufällig generiertes 8-Zeichen-Passwort mit Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen innerhalb von nur 59 Minuten aus dem zugehörigen MD5-Hash rekonstruieren. Kommt als Hashing-Algorithmus stattdessen bcrypt (mit 32 Iterationen) zum Einsatz, so dauert der gleiche Vorgang deutlich längere 99 Jahre.

Das Problem dabei: Anwender wissen in der Regel nicht, welcher Algorithmus bei den genutzten Diensten genutzt wird. MD5 gilt zwar schon länger als unsicher, jedoch wird das Verfahren noch bei vielen Onlinediensten verwendet. Obendrein nutzt längst nicht jeder Anwender die maximal mögliche Passwortkomplexität, sofern diese nicht durch Richtlinien forciert wird.

Auch mit bcrypt kann es schneller gehen

Selbst wenn der sicherere bcrypt-Algorithmus zum Einsatz kommt, ist das keine Garantie dafür, dass sich das Passwort nicht innerhalb weniger Tage knacken lässt. Hive Systems bildet diesbezüglich einen Extremfall ab: Mit 10.000 A100-GPUs von Nvidia lässt sich der bcrypt-Hash eines 8-Zeichen-Passwortes mit hoher Komplexität demnach innerhalb von 5 Tagen zurückrechnen.

Für Personen, die viel Geld für entsprechende Rechenressourcen haben und sich viel von einem zu knackenden Passwort erhoffen, stellen 8 Zeichen also keine allzu große Hürde mehr dar. Mit nur 12 A100-GPUs dauert der gleiche Vorgang immerhin noch 12 Jahre. Die Forscher halten dies für angemessen, sofern Anwender ihre Passwörter zufällig generieren und hin und wieder ändern.

Menschen sind vorhersehbar

Hive Systems gibt jedoch zu bedenken, dass "Menschen ziemlich vorhersehbar sind" und häufig keine zufällig generierten Passwörter erstellten. Daher sei eine Rekonstruktion in der Realität oftmals viel einfacher und schneller durchführbar. Die von den Sicherheitsexperten ermittelten Zeitangaben sind als Best-Case-Szenario zu verstehen.

Darüber hinaus gibt es weitere Faktoren, welche die Rechenzeit massiv verkürzen – beispielsweise wenn ein Passwort Wörterbucheinträge enthält oder schon mal in einem bekannten Datenleck auftauchte. In solchen Fällen lassen sich Passwörter unmittelbar knacken, ganz gleich wie lang oder komplex sie sind.

Das BSI empfiehlt auf seiner Webseite noch heute, dass "ein gutes Passwort" mindestens 8 Zeichen lang sein sollte. "Je länger, desto besser", heißt es jedoch ebenfalls.

Die Untersuchungen von Hive Systems zeigen, dass es sich angesichts immer leistungsfähigerer GPUs inzwischen durchaus lohnen könnte, grundsätzlich auf längere Passwörter zu setzen. Viele Dienste empfehlen bereits 12 oder mehr Zeichen.