Seit 2020 veröffentlicht die IT-Sicherheitsfirma Hive Systems jährlich eine Tabelle, die zeigt, wie lange ein Angreifer braucht, um ein gestohlenes Passwort zu knacken. Über den Reddit-Account »hivesystems« postete das Unternehmen jetzt im PCMR-Subreddit die Version für 2026.
- Zur Erinnerung, worum es geht: Webseiten speichern Passwörter nie im Klartext, sondern als sogenannten Hash – eine Einwegverschlüsselung, die sich nicht direkt zurückrechnen lässt. Wird eine Datenbank gestohlen, bleibt Angreifern nur eine Methode: durchprobieren.
- Ein Programm errät Millionen Kombinationen pro Sekunde, hasht jede davon und vergleicht sie mit der gestohlenen Datenbank. Diesmal ist die Rechenbasis eine gemietete Flotte aus 16 Nvidia-RTX-5090-Grafikkarten (gegenüber zwölf RTX 5090 aus dem Vorjahr).
1:08:33
Das ultimative Real-Life MMO: So funktioniert LARP | mit Geschichtsfenster
Die nackten Zahlen: Acht Zeichen reichen längst nicht mehr
Ein rein numerisches, achtstelliges Passwort ist laut Tabelle sofort geknackt. Bei ausschließlich Kleinbuchstaben dauert es zwei Wochen. Mischt ihr Groß- und Kleinschreibung, steigt die Zeit auf 12 Jahre, mit Zahlen zusätzlich auf 50 Jahre. Erst mit Sonderzeichen obendrauf kommt ihr bei acht Zeichen auf 132 Jahre – deutlich weniger als 164 Jahre in der 2025er-Tabelle für dieselbe Kombination.
Link zum Reddit-Inhalt
Was KI wirklich verändert – und was nicht
Hive Systems widmet der KI-Frage in diesem Jahr besonders viel Raum, weil sie am häufigsten gestellt wurde. Das Ergebnis ist zweigeteilt: KI senkt die technische Hürde, eine schlagkräftige Cracking-Flotte überhaupt zusammenzustellen – früher aufwendige Handarbeit lässt sich heute per KI-gestütztem Skript erledigen.
An der reinen Rechengeschwindigkeit pro Grafikkarte ändert das aber nichts, denn Passwort-Hashing ist stumpfe Rechenarbeit, kein Denkproblem.
- Das zeigt sich auch bei spezialisierter KI-Hardware: Ein 30.000 US-Dollar teurer KI-Beschleuniger in Form von Nvidias H200 schnitt in Benchmarks beim reinen Passwort-Knacken nicht besser ab als eine gewöhnliche Gaming-Grafikkarte.
- Setzt man direkt ein Sprachmodell auf die Aufgabe an, sinkt die Trefferquote laut einer zitierten Studie sogar auf unter 1,5 Prozent.
Und die Quantencomputer?
Auch hier gibt Hive Systems Entwarnung für eure Passwörter: Der gefährliche Quantenalgorithmus (Shor) trifft vor allem Verschlüsselungsverfahren wie RSA, die euren Browser-Datenverkehr absichern – nicht aber gehashte Passwörter.
- Der für Hashes relevante Algorithmus (Grover) halbiert widerum bestenfalls die effektive Stärke, was sich mit etwas mehr Zeichenlänge locker ausgleichen lässt.
- Euer bcrypt-gehashtes Passwort bleibt also vorerst quantensicher; in Gefahr ist eher die Verschlüsselung, die aktuell durchs Netz fließt.
An den Grundregeln der Passwortsicherheit ändert sich demnach nichts: Länge schlägt Komplexität, jedes Konto braucht ein eigenes Passwort, und ein Passwort-Manager erledigt den Rest zuverlässiger als jedes Gedächtnis.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.