Sicherheitsexperten erklären: Darum sollte dein Passwort mindestens 16 Zeichen lang sein
Die Zeit, die Angreifer:innen benötigen, um Passwörter zu knacken, hat sich dramatisch verkürzt. Das belegen die aktuellen Analysen für das Jahr 2025 der Cybersicherheitsfirma Hive Systems aus Richmond im US-Bundesstaat Virginia. Wie das Unternehmen in seinem Bericht darlegt, können selbst mit modernen Verschlüsselungsmethoden gesicherte Passwörter mit erschreckender Geschwindigkeit geknackt werden, wenn die entsprechende Rechenleistung eingesetzt wird.
Hardware-Revolution beschleunigt Passwort-Knacker
Die Forscher:innen von Hive Systems simulierten für ihre Untersuchung ein Szenario mit zwölf Nvidia Geforce RTX 5090 Grafikkarten – der aktuell wohl leistungsstärksten für Endverbraucher:innen verfügbaren Hardware. Als zu knackenden Algorithmus wählten sie bcrypt mit einem Kostenfaktor von 10 (entsprechend 32.768 Iterationen), ein Verfahren, das wegen seiner Robustheit eigentlich als sicher gilt.
Die Ergebnisse sind ernüchternd: Ein achtstelliges Passwort mit ausschließlich Kleinbuchstaben könnte nach Hochrechnung der Hive-Daten mit zwölf RTX 5090 innerhalb weniger Wochen geknackt werden. Besteht ein solches achtstelliges Passwort zusätzlich aus Zahlen, ändert sich die Knackzeit nicht.
Erst wenn Groß- und Kleinbuchstaben kombiniert werden, steigt die benötigte Zeit auf 15 Jahre, mit zusätzlichen Zahlen auf 62 Jahre und bei voller Komplexität (Groß-/Kleinbuchstaben, Zahlen, Symbole) auf 164 Jahre.
KI-Hardware als ultimativer Passwort-Killer
Noch drastischer fallen die Zahlen aus, wenn sogenannte „AI-Grade Hardware“ ins Spiel kommt – also Rechencluster, wie sie beispielsweise für das Training von KI-Modellen eingesetzt werden. Mit Hardware wie der aus dem ChatGPT-Training lassen sich Passwörter millionenfach schneller knacken als mit Consumer-Grafikkarten. Zeiträume, die zuvor Billionen von Jahren in Anspruch genommen hätten, könnten so auf unter eine Stunde schrumpfen.
Ein Beispiel verdeutlicht die Dimension: Ein 18-stelliges Passwort, das nur aus Zahlen besteht, würde die zwölf RTX 5090 Grafikkarten laut der Analyse 284.000 Jahre beschäftigen. Die Zahl basiert auf realen Benchmarks und wurde linear hochgerechnet.
Ein Cluster aus 20.000 Nvidia A100 Server-GPUs – eine Konfiguration, die für das Training von ChatGPT-4 genutzt worden sein soll – bräuchte dafür „nur“ noch ein paar hundert Jahre. Reduziert man die Länge dieses reinen Zahlenpassworts auf 16 Zeichen, wären es mit der KI-Hardware nur noch vier Jahre.
Länge schlägt Komplexität – alte Regeln neu bewertet
Diese Zahlen unterstreichen eine seit Längerem von Expert:innen betonte Tatsache: Die Länge eines Passworts ist der entscheidende Faktor für seine Sicherheit, noch vor der reinen Komplexität durch verschiedene Zeichentypen. Die Empfehlung des US-amerikanischen National Institute of Standards and Technology (NIST), auf lange Passphrasen von mindestens 15 oder 16 Zeichen zu setzen, gewinnt damit weiter an Dringlichkeit.
Die „Halbwertszeit“ von Passwörtern schrumpft also zusehends. Wie Hive Systems in seinem Bericht festhält, sind die Knackzeiten für Passwörter mit Consumer-GPUs im Vergleich zum Vorjahr 2024 um fast 20 Prozent gesunken. „Wir erleben eine astronomische Beschleunigung der Rechenleistung“, warnt Hive-Chef Alex Nette in einer Pressemitteilung. „Die KI-Hardware von heute verändert bereits die Cybersicherheitsrisiken. Passwörter, die letztes Jahr noch sicher waren, könnten jetzt in einem Bruchteil der Zeit geknackt werden.“
Was Nutzer jetzt tun sollten
Angesichts dieser Entwicklung raten Sicherheitsexpert:innen dringend zu folgenden Maßnahmen:
- Lange Passwörter oder Passphrasen verwenden: Mindestens 16 Zeichen sind empfehlenswert, besser mehr.
- Passwort-Manager nutzen: Diese Werkzeuge generieren und speichern sehr lange, komplexe und für jeden Dienst einzigartige Passwörter. Nutzer:innen müssen sich dann nur noch ein starkes Master-Passwort merken.
- Multi-Faktor-Authentifizierung (MFA) aktivieren: Wo immer möglich, sollte eine zweite Authentifizierungsebene (z.B. per App oder Hardware-Token) genutzt werden.
- Passwörter niemals wiederverwenden: Jeder Dienst sollte ein eigenes, einzigartiges Passwort erhalten, um bei einem Datenleck die Kompromittierung weiterer Konten zu verhindern.
Die aktuelle Forschung macht deutlich, dass traditionelle Passwortstrategien nicht mehr ausreichen. Die rasante Entwicklung der Hardware-Leistung, insbesondere im KI-Bereich, erfordert ein Umdenken bei allen Internetnutzer:innen.
Sinnvolle und weniger sinnvolle Passworttipps
Die Angaben zur Passwortsicherheit mögen ja stimmen, aber die Unsicherheit und Geschwindigkeit des Knackens stimmt so nicht, weil ein sehr wichtiger Aspekt vergessen wird.
Und zwar wird nicht auf die Funktion der Blockierung oder Sperrung eingegangen.
Gibt man z.b. bei einer Fritzbox ein paar mal das Passwort falsch ein, ist der Login erstmal einige Sekunden gesperrt.
Bei weiteren fehlerhaften Logins erhöht sich die Sperrzeit massiv.
Ebenso bei Windows Login oder vielen Firmenlogins.
Firmenrechner mit Windows haben in der Regel eine Sperre drin, und Windows lässt sich nach x facher Fehleingabe nur über die Firmeneigene IT Entsperren.
Microsoft selber verwendet die 2 Faktor Autorisierung, die ein Brute Force somit blockiert.
Webseiten wie z.b. Amazon, eBay oder so gut wie alle anderen Sperren den Zugang im Normalfall ebenfalls und erkennen auch solche Brute Force angriffe.
Also Ja, billig Passwörter sind schlecht, aber auch ein 10-stelliges Passwort mit Groß/ Kleinschreibung und Zahlen wird auch in Monaten bzw. Jahren nicht so einfach geknackt werden können.