GPU-Passwort-Cracking - auch sichere Windows-Passwörter mit Grafikkarte schnell geknackt

Passwortsicherheit ist ein lästiges Thema: Aus IT-Sicht sollten Passwörter möglichst lang und und mit Sonderzeichen versehen sein, aus Endanwendersicht hingegen möglichst kurz, einfach zu merken und dauerhaft gültig. Nicht umsonst zählen Passwort-bezogene Probleme zu den häufigsten Supportanfragen. Doch die Notwendigkeit für starke, komplexe Passwörter nimmt im Zuge immer leistungsfähigerer PC-Hardware rapide zu, wie Vijay Devakumar in einem Blogbeitrag darlegt: Die Entschlüsselung mit Unterstützung der immer leistungsfähigeren Prozessoren auf Grafikkarten (GPU) dauert oft nur noch wenige Sekunden.

Er führt im Rahmen einer kleinen Testreihe vor, wie schnell sich Passwörter einer bestimmten Länge anhand einer Bruteforce-Attacke ermitteln lassen. Die Ergebnisse sind beunruhigend: Ein Windows-Passwort mit 5 Zeichen wurde mit dem Cracker-Tool “ighashgpu”, das die Recheneinheit einer handelsüblichen Radeon 5770 benutzt, in weniger als einer Sekunde entschlüsselt. Ermittelt wurde dabei der NTLM-Hash, jene gut verschlüsselte Zeichenkette, die aus einem Windows-Passwort generiert und im System hinterlegt wird. Im Vergleich dazu benötigte das Tool “Cain & Abel”, das mit dem herkömmlichen Prozessor rechnet, ganze 24 Sekunden. Der nächste Versuch mit einer Passwortlänge von 6 Zeichen dauerte 4 Sekunden, das CPU-Tool verschwendet hier schon 1 Stunde 30 Minuten. Bei 7 Zeichen sind es mit ighashgpu 17 Minuten, bei 8 Zeichen 18 Stunden und bei 9 Zeichen 48 Tage, was auch noch überschaubar ist.

Bei seinen Tests fand er heraus, dass man mit komplexen alphanumerischen Zeichenketten die Einbruchszeit deutlich verlängern kann. So würde das Knacken des 9-Zeichen-Passworts “H<k7$6fVJ” mit ighashgpu immerhin 7 Jahre dauern. Nur: Wer kann sich so eine Phrase schon merken?

Fakt ist jedenfalls, dass mit der Verbreitung dieser Techniken die Sicherheit passwortgeschützter Benutzerkonten neu zu bewerteten ist.

In folgendem Youtube-Video führt Vijay übrigens den Ablauf seines Crack-Tests vor:

• About
• Latest Posts

wm@sharepoin

Wolfgang Miedl

Wolfgang Miedl ist Publisher und Chefredakteur von SharePoint360.de. Als Fachautor und Analyst ist er seit über 20 Jahren mit Arbeitsplatz- und Collaboration-Themen im Microsoft-Umfeld tätig. Er ist Mitherausgeber einiger SharePoint- und Office 365-Marktstudien.

wm@sharepoin

Latest posts by Wolfgang Miedl (see all)

• Die Top-10-Limitierungen von Microsoft Teams: Beschränkte Kanäle, fehlende Apps und versteckte Gruppen - 1. Juni 2023
• Swoop-Studie 2023: "Teams wird kaum für die Zusammenarbeit genutzt, E-Mail bleibt dominierende Office-Anwendung" - 30. Mai 2023
• Microsoft peppt die Teams-Suche mit neuen Komfortfunktionen auf - 16. Mai 2023