Über alle getesteten Algorithmen hinweg übertrifft die RTX 5090 beide KI-Beschleuniger bei der reinen Hash-Erzeugung. In mehreren Funktionen berechnet die Consumer-Karte Hashes nahezu doppelt so schnell wie die H200. Bei MD5 erreichte sie 219,5 GH/s gegenüber 124,4 GH/s der H200 und 164,1 GH/s der MI300X, bei NTLM 340,1 GH/s gegenüber 218,2 GH/s und 268,5 GH/s. Auch bei SHA-256 (27.681,6 MH/s) und SHA-512 (10.014,2 MH/s) lag die RTX 5090 vorn. Lediglich bei bcrypt schob sich die H200 mit 375,3 kH/s vor die RTX 5090 (304,8 kH/s) und die MI300X (142,3 kH/s).

Der Vergleich von Preis und Leistung fällt deutlich aus: Eine einzelne H200 kostet mindestens das Zehnfache einer RTX 5090. Ein dem KI-Beschleuniger entsprechender Leistungsvorsprung bleibt aus.

Specops verweist zudem auf einen Aufbau von IBM aus dem Jahr 2017, der acht Nvidia GTX 1080 – die damalige Spitzen-Consumer-GPU – kombinierte und beim Knacken von NTLM-Hashes 334 GH/s erreichte. Ein neun Jahre altes Consumer-System liefert damit eine vergleichbare oder bessere Leistung als die heutigen KI-Beschleuniger.

Die Schlussfolgerung der Forscher: Passwort-Cracking erfordert keine exotische Spezialhardware. Angreifer verfügen bereits über ausreichend Rechenleistung, um schwache Passwörter per Brute-Force zu knacken. In den SHA-256-Tests von Specops ließ sich ein Passwort aus Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen in nur 21 Stunden knacken.

Als wirksamste Verteidigung nennt Specops die Länge: Ein 15 Zeichen langes Passwort mit derselben Zeichenmischung, mit SHA-256 gehasht, würde selbst mit leistungsstarker GPU-Hardware rund 167 Milliarden Jahre standhalten. Brute-Force ist dann keine realistische Angriffsmethode mehr.

Als größeres Risiko sieht Specops bereits in Datenlecks offengelegte Passwörter, häufig durch Wiederverwendung. Selbst lange, komplexe Active-Directory-Passwörter verlieren ihren Schutz, wenn dasselbe Passwort auf privaten Geräten, Websites oder Anwendungen mit schwächeren Sicherheitsvorkehrungen erneut genutzt wird. Lassen sich offengelegte Zugangsdaten einer Person zuordnen, ist oft leicht herauszufinden, wo diese arbeitet, um das Passwort gegen Unternehmenskonten zu testen. Specops verweist auf einen ganzen Untergrundmarkt sogenannter Initial Access Broker, die auf genau diese Art des Eindringens spezialisiert sind.

Daraus leitet das Unternehmen die Bedeutung von Werkzeugen ab, die kompromittierte Passwörter innerhalb einer Organisation erkennen, sowie den Einsatz von Multi-Faktor-Authentifizierung als zusätzliche Barriere, die Konten auch dann schützt, wenn ein Passwort letztlich wiederhergestellt wird.