SchwachstellenCyberkriminalitätDatenschutz

Passwort-Knacken mit teurer GPU-Hardware: Lohnt sich der Aufwand wirklich?

Passwort-Knacken mit teurer GPU-Hardware: Lohnt sich der Aufwand wirklich?
Zusammenfassung

Die rasante Entwicklung von Grafikprozessoren im Zuge der künstlichen Intelligenz wirft wichtige Fragen für die Cybersicherheit auf: Könnten leistungsstarke und teure AI-GPUs, falls sie überflüssig werden, zur Passwortentschlüsselung missbraucht werden? Eine aktuelle Untersuchung vergleicht die Passwort-Cracking-Leistung von zwei hochpreisigen KI-Beschleunigern im 30.000-Dollar-Preissegment mit einer günstigen Consumer-GPU und liefert überraschende Ergebnisse. Die Erkenntnisse haben erhebliche Implikationen für Unternehmen und Behörden in Deutschland, wo Passwörter nach wie vor eine zentrale Rolle in der IT-Sicherheitsinfrastruktur spielen. Besonders für deutsche Organisationen ist das Verständnis dieser Technologie-Realität entscheidend, da gestohlene Zugangsdaten laut Verizon in 44,7 Prozent aller Datenschutzverletzungen eine Rolle spielen. Da das Darknet-Ökosystem von Credential-Brokern aktiv nach kompromittierten Passwörtern sucht, um Zugang zu Unternehmensnetzen zu erlangen, müssen deutsche Unternehmen ihre Verteidigungsstrategien überdenken und neben komplexen Passwörtern verstärkt auf Mehrfaktor-Authentifizierung und die Erkennung kompromittierter Anmeldedaten setzen.

Die Sicherheitsforschung zeigt ein überraschendes Ergebnis: Teure KI-Beschleuniger sind für das Knacken von Passwörtern weniger geeignet als handelsübliche Gaming-GPUs. Dies wirft ein neues Licht auf die Bedrohungslage in der Cybersicherheit.

Die Tests mit Hashcat, einem der verbreitetsten Passwort-Recovery-Tools, offenbarten deutliche Leistungsunterschiede. Bei der MD5-Verschlüsselung erreichte die RTX 5090 219,5 GH/s, während die H200 nur 124,4 GH/s schaffte. Bei NTLM-Hashes zeigte sich ein ähnliches Bild: Die Consumer-GPU erzielte 340,1 GH/s gegenüber 218,2 GH/s der H200. Selbst bei SHA-256, einem modernen Algorithmus, war die RTX 5090 mit 27.681,6 MH/s überlegen.

Der Preisvergleich ist noch bemerkenswerter: Die H200 kostet etwa zehnmal so viel wie die RTX 5090, liefert aber schlechtere Passwort-Cracking-Leistung. Dies deutet darauf hin, dass spezialisierte KI-Hardware nicht für diesen Anwendungsfall optimiert ist.

Historisch betrachtet ist dies sogar weniger überraschend als gedacht. Ein 2017 von IBM zusammengestelltes System mit acht GTX 1080-GPUs erreichte eine NTLM-Hashrate von 334 GH/s — eine Leistung, die moderne Top-Beschleuniger heute nicht überbieten.

Die praktischen Implikationen sind jedoch ernst zu nehmen: Bei SHA-256-Hashing könnte ein Angreifer ein Standard-Passwort mit Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen theoretisch in 21 Stunden knacken. Dies zeigt, dass die Passwortlänge der entscheidende Faktor ist. Ein 15-stelliges Passwort mit gemischten Zeichentypen würde 167 Milliarden Jahre zum Knacken benötigen.

Das größere Risiko liegt in wiederverwendeten Passwörtern aus früheren Datenpannen. Cyberkriminelle nutzen gezielt Credential-Stuffing-Attacken, um Passwörter von kompromittierten Plattformen gegen Unternehmenskonten zu testen. Dieser Ansatz ist für Angreifer deutlich effizienter als Brute-Force-Attacken.

Deutsche Organisationen sollten daher mehrgleisig fahren: Starke Passwort-Richtlinien mit Mindestlängen von 15 Zeichen, regelmäßige Überprüfung auf kompromittierte Anmeldedaten in öffentlichen Datenbanken sowie Multi-Faktor-Authentifizierung als zusätzliche Sicherheitsebene. Dies bietet erheblich besseren Schutz als auf die Hoffnung zu setzen, dass teure Hardware Angreifer abhält.

Ähnliche Artikel