{"id":22393,"date":"2025-08-13T11:00:51","date_gmt":"2025-08-13T09:00:51","guid":{"rendered":"https:\/\/blog.rwth-aachen.de\/itc\/?p=22393"},"modified":"2025-08-20T15:02:41","modified_gmt":"2025-08-20T13:02:41","slug":"kennwort-geknackt","status":"publish","type":"post","link":"https:\/\/blog.rwth-aachen.de\/itc\/2025\/08\/13\/kennwort-geknackt\/","title":{"rendered":"Wie schnell kann mein Kennwort geknackt werden?"},"content":{"rendered":"<div class=\"twoclick_social_bookmarks_post_22393 social_share_privacy clearfix 1.6.4 locale-de_DE sprite-de_DE\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_22393')){$('.twoclick_social_bookmarks_post_22393').socialSharePrivacy({\"txt_help\":\"Wenn Sie diese Felder durch einen Klick aktivieren, werden Informationen an Facebook, Twitter, Flattr, Xing, t3n, LinkedIn, Pinterest oder Google eventuell ins Ausland \\u00fcbertragen und unter Umst\\u00e4nden auch dort gespeichert. N\\u00e4heres erfahren Sie durch einen Klick auf das <em>i<\\\/em>.\",\"settings_perma\":\"Dauerhaft aktivieren und Daten\\u00fcber-tragung zustimmen:\",\"info_link\":\"http:\\\/\\\/www.heise.de\\\/ct\\\/artikel\\\/2-Klicks-fuer-mehr-Datenschutz-1333879.html\",\"uri\":\"https:\\\/\\\/blog.rwth-aachen.de\\\/itc\\\/2025\\\/08\\\/13\\\/kennwort-geknackt\\\/\",\"post_id\":22393,\"post_title_referrer_track\":\"Wie+schnell+kann+mein+Kennwort+geknackt+werden%3F\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div><p><div id=\"attachment_22655\" style=\"width: 310px\" class=\"wp-caption alignright\"><a href=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2025\/08\/Passwort-knacken_20250808_BAU_Blog.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-22655\" class=\"size-medium wp-image-22655\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2025\/08\/Passwort-knacken_20250808_BAU_Blog-300x200.png\" alt=\"Passwort wird mit einer Brechzange geknackt\" width=\"300\" height=\"200\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2025\/08\/Passwort-knacken_20250808_BAU_Blog-300x200.png 300w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2025\/08\/Passwort-knacken_20250808_BAU_Blog-1024x683.png 1024w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2025\/08\/Passwort-knacken_20250808_BAU_Blog-768x512.png 768w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2025\/08\/Passwort-knacken_20250808_BAU_Blog.png 1500w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><p id=\"caption-attachment-22655\" class=\"wp-caption-text\">Quelle: Eigene Darstellung<\/p><\/div><\/p>\n<p>Wie lange h\u00e4lt dein Kennwort derzeit einem Hacker stand?<\/p>\n<p>In Zeiten, in denen Cyberangriffe Alltag sind und aktuelle Supercomputer Milliarden Kombinationen pro Sekunde testen k\u00f6nnen (zuk\u00fcnftige Quanten-Computer wom\u00f6glich noch viel mehr), wird die Kennwortsicherheit zur digitalen \u00dcberlebensfrage. In diesem Beitrag erf\u00e4hrst du, mit welchen Methoden Angreifende Kennw\u00f6rter knacken \u2013 und welche einfachen Ma\u00dfnahmen den Unterschied zwischen Datendiebstahl und digitaler Sicherheit machen k\u00f6nnen.<\/p>\n<p><!--more--><\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"color: #00549f;\">Brute-Force-Angriffe<\/span><\/h3>\n<p>Der Brute-Force Ansatz ist eine der grundlegendsten Methoden, um Kennw\u00f6rter zu knacken. Dabei werden alle m\u00f6glichen Kennwortkombinationen ausprobiert. Um zu verdeutlichen, warum dieser Ansatz in der Praxis an seine Grenzen st\u00f6\u00dft, nehmen wir ein Beispiel:<br \/>\nStellen wir uns vor, wir nutzen die Rechenleistung des CLAIX-2023, der rund 14 PFLOPS (14 Billiarden Floating Point Operations Per Second) bietet \u2013 eine Operation ist in diesem Zusammenhang ein Rechenvorgang. Angenommen, das Testen der Kennw\u00f6rter dauert nur eine Operation; dann w\u00fcrde es bei einem 94 Zeichen Alphabet (Gro\u00df- und Kleinbuchstaben, Zahlen und druckbare ASCII Sonderzeichen) bei einem zuf\u00e4llig generierten Kennwort der L\u00e4nge 12 etwa ein Jahr dauern, um alle m\u00f6glichen Kombinationen auszuprobieren. Bei 13 Zeichen sind es 100 Jahre und bei 14 Zeichen schon 10.000 Jahre. Bei einem Kennwort der L\u00e4nge 16 sind es 84 Millionen Jahre. Mit der aktuellen Rechenleistung w\u00e4re es also schon unrealistisch, ein Kennwort mit 13 Zeichen per Brute-Force zu knacken.<\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"color: #00549f;\">W\u00f6rterbuch-Angriffe<\/span><\/h3>\n<p>Angreifende verzichten in der Praxis oft auf den rechenintensiven Brute-Force-Ansatz. Da Menschen in der Regel vorhersehbare und selten zuf\u00e4llig generierte Kennw\u00f6rter verwenden, kommen so genannte W\u00f6rterbuch-Angriffe zum Einsatz.<\/p>\n<p>Bei einem W\u00f6rterbuch-Angriff wird eine Liste h\u00e4ufig verwendeter Kennw\u00f6rter oder anderer gel\u00e4ufiger Phrasen verwendet. Diese Listen k\u00f6nnen aus verschiedenen Quellen stammen, darunter <a href=\"https:\/\/nordpass.com\/most-common-passwords-list\/\" target=\"_blank\" rel=\"noopener\">h\u00e4ufig genutzte Kennw\u00f6rter<\/a>, sowie g\u00e4ngige Begriffe oder Namen aus verschiedenen Sprachen.<\/p>\n<p>Auch Datenlecks von anderen Webseiten liefern Informationen f\u00fcr einen Angriff. Infolge von Sicherheitsl\u00fccken, fehlerhafter Konfiguration oder menschlichem Versagen k\u00f6nnen Inhalte von Datenbanken \u00f6ffentlich zug\u00e4nglich werden. Da diese Lecks auch Anmeldeinformationen enthalten k\u00f6nnen, stellen sie eine Gefahr dar, vor allem wenn Kennw\u00f6rter mehrmals verwendet werden. <a href=\"https:\/\/haveibeenpwned.com\/PwnedWebsites\" target=\"_blank\" rel=\"noopener\">Bekannte Datenlecks<\/a> betrafen unter anderen Facebook und Yahoo.<\/p>\n<p>Deshalb gilt: Nutze in deinen Kennw\u00f6rtern keine pers\u00f6nlichen Informationen, vermeide bekannte Muster und verwende Kennw\u00f6rter nicht mehrmals.<\/p>\n<p>Auf der Webseite <a href=\"https:\/\/haveibeenpwned.com\/\" target=\"_blank\" rel=\"noopener\">Have I Been Pwned<\/a> kannst du selbst herausfinden, ob deine Mail-Adresse oder dein Kennwort Teil eines bekannten Datenlecks waren.<\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"color: #00549f;\">Hashing-Algorithmen zur Sicherung von Kennw\u00f6rtern<\/span><\/h3>\n<p>Um im Falle eines Datenlecks die Daten zu sch\u00fctzen, werden Kennw\u00f6rter nicht in Klartext gespeichert, sondern als Hash. Ein Hash ist das Ergebnis eines sogenannten Hashing-Algorithmus \u2013 einem mathematischen Verfahren, das Daten, insbesondere Kennw\u00f6rter, in eine feste Zeichenl\u00e4nge umwandelt und verschl\u00fcsselt. Diese Transformation ist unumkehrbar, sodass es nicht m\u00f6glich ist aus dem Hash das urspr\u00fcngliche Kennwort wiederherzustellen.<\/p>\n<p>Im Gegensatz zur klassischen Verschl\u00fcsselung, bei der ein Schl\u00fcssel zur Wiederherstellung der Daten ben\u00f6tigt wird, dient diese Unumkehrbarkeit dem Kennwortschutz: Sollte jemand unbefugten Zugriff auf die Datenbank erhalten, sind nur die Hashes gespeichert &#8211; nicht die tats\u00e4chlichen Kennw\u00f6rter. Bei einer Anmeldung wird das eingegebene Kennwort erneut gehasht und mit dem in der Datenbank gespeicherten Hash verglichen. Dieser Prozess macht es f\u00fcr Angreifende deutlich aufw\u00e4ndiger, ein Kennwort zu knacken, da viele Hashing-Algorithmen absichtlich viel Rechenleistung ben\u00f6tigen.<\/p>\n<p>Eine zus\u00e4tzliche Schutzma\u00dfnahme ist das sogenannte Salting. Hier wird jedem Kennwort einen zuf\u00e4lliger Wert (Salt) hinzugef\u00fcgt, bevor es gehasht wird. Dies verhindert, dass Angreifende mit vorgefertigten Listen h\u00e4ufig verwendeter Kennw\u00f6rter arbeiten k\u00f6nnen, da f\u00fcr jedes Kennwort ein einzigartiger Hash erstellt wird.<\/p>\n<p>Auch alte und unzureichend konfigurierte Hashing-Algorithmen sind durch die kontinuierlich steigende Rechenleistung gef\u00e4hrdet. Angreifende k\u00f6nnen heute mit geringem Aufwand auf enorme Rechenressourcen zugreifen, sodass selbst fr\u00fcher als sicher geltende Verfahren zunehmend unter Druck geraten.<\/p>\n<h3><span style=\"color: #00549f;\">Wie werden Datenbanken vor steigender Rechenleistung gesch\u00fctzt?<\/span><\/h3>\n<p>Moderne Hashing-Algorithmen wie Argon2 &#8211; der Gewinner der <a href=\"https:\/\/www.password-hashing.net\/\" target=\"_blank\" rel=\"noopener\">Password Hashing Competition<\/a> \u2013 l\u00f6sen das Problem der kontinuierlich steigenden Rechenleistung, indem sich der Rechenaufwand des Algorithmus flexibel anpassen l\u00e4sst. Argon2 erm\u00f6glicht es Entwicklerinnen und Entwicklern sowie Administratorinnen und Administratoren Parameter wie den Speicherverbrauch, die Anzahl der Iterationen, die Anzahl der benutzten CPU Kerne sowie die L\u00e4nge von Kennwort und Salt individuell anzupassen.<\/p>\n<p>So l\u00e4sst sich der Rechenaufwand eines Hashs kontrollieren und es wird sichergestellt, dass der Algorithmus der zunehmend steigenden Rechenleistung angepasst werden kann. Dadurch wird gew\u00e4hrleistet, dass Angreifende, auch bei Einsatz Leistungsf\u00e4higer Hardware, kaum in der Lage sind, gro\u00dfe Mengen an Kennwort-Hashes in kurzer Zeit zu berechnen.<\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"color: #00549f;\">Fazit<\/span><\/h3>\n<p>Die Sicherheit von Kennw\u00f6rtern h\u00e4ngt im Wesentlichen von der Komplexit\u00e4t und der angewandten Schutztechnik ab. W\u00e4hrend Brute-Force-Angriffe bei langen Kennw\u00f6rtern nahezu aussichtslos sind, k\u00f6nnen W\u00f6rterbuch-Angriffe Erfolg haben &#8211; insbesondere, wenn einfache oder vorhersagbare Kennw\u00f6rter benutzt werden.<\/p>\n<p>Um die Sicherheit weiter zu erh\u00f6hen, ist es ratsam, Passwortmanager zu nutzen. Diese helfen dabei, komplexe Kennw\u00f6rter zu generieren und sicher zu speichern, zus\u00e4tzlich bieten sie auch Schutz vor Phishing-Angriffen. Wenn m\u00f6glich sollte das Master-Kennwort des Passwortmanagers aber mit einem weiteren Faktor gesichert werden.\u00a0 Besonders praktisch und sicher ist es, wenn Kennw\u00f6rter direkt im Browser generiert und verwaltet werden.<\/p>\n<p>Das Bundesamt f\u00fcr Sicherheit empfiehlt <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Verbraucherinnen-und-Verbraucher\/Informationen-und-Empfehlungen\/Cyber-Sicherheitsempfehlungen\/Accountschutz\/Sichere-Passwoerter-erstellen\/sichere-passwoerter-erstellen_node.html\" target=\"_blank\" rel=\"noopener\">folgendes <\/a>um ein sicheres Kennwort zu erstellen.<\/p>\n<p>Weitere Tipps, wie du dich am besten sch\u00fctzt und worauf du weiterhin achten solltest, findest du in den folgenden Beitr\u00e4gen, wobei das eigentliche \u00c4ndern des Kennwortes zu einem bestimmten Stichtag und nicht anl\u00e4sslich eines Inzidentes eher obsolet ist, wie eine <a href=\"https:\/\/news.rub.de\/english\/2025-01-31-it-security-why-change-your-password-day-outdated\" target=\"_blank\" rel=\"noopener\">Publikation<\/a> der Ruhr Universit\u00e4t Bochum (RUB) darlegt.<\/p>\n<p>\u2022 <a href=\"https:\/\/blog.rwth-aachen.de\/itc\/2024\/07\/17\/hilfe-mein-e-mail-passwort-wurde-kompromittiert\/\" target=\"_blank\" rel=\"noopener\">Hilfe, mein E-Mail-Passwort wurde kompromittiert!<\/a><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<hr \/>\n<p>Verantwortlich f\u00fcr die Inhalte dieses Beitrags ist <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/it-center\/it-center\/profil\/team\/~epvp\/mitarbeiter-campus-\/?gguid=PER-7VY9QG9&amp;allou=1&amp;lidx=1\" target=\"_blank\" rel=\"noopener\">Marc Weerts<\/a><\/p>","protected":false},"excerpt":{"rendered":"<p>Wie lange h\u00e4lt dein Kennwort derzeit einem Hacker stand? In Zeiten, in denen Cyberangriffe Alltag sind und aktuelle Supercomputer Milliarden Kombinationen pro Sekunde testen k\u00f6nnen (zuk\u00fcnftige Quanten-Computer wom\u00f6glich noch viel [&hellip;]<\/p>\n","protected":false},"author":6316,"featured_media":22655,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"c2c_always_allow_admin_comments":false,"footnotes":""},"categories":[314],"tags":[81,61,68],"class_list":["post-22393","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-sicherheit","tag-it-security","tag-it-sicherheit","tag-passwort"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/22393","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/users\/6316"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/comments?post=22393"}],"version-history":[{"count":16,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/22393\/revisions"}],"predecessor-version":[{"id":22737,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/22393\/revisions\/22737"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/media\/22655"}],"wp:attachment":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/media?parent=22393"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/categories?post=22393"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/tags?post=22393"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}