Die Rechenleistung wächst in einem außergewöhnlichen Tempo. Der KI-Boom hat massive Investitionen in GPUs und spezialisierte „Beschleuniger“ vorangetrieben, wobei Anbieter zunehmend leistungsfähigere Hardware entwickeln, um große Sprachmodelle zu trainieren. Für Cybersicherheitsexperten wirft dies eine interessante Frage auf. Wenn die KI-Blase abkühlt und diese Hardware ungenutzt herumsteht, könnte sie dann für das Passwort-Cracking umfunktioniert werden? Und wenn ja, bedeutet das, dass Passwörter bald obsolet werden? Um dieses Szenario zu untersuchen, verglichen wir zwei Flaggschiff-KI-Beschleuniger, die **Nvidia H200** und **AMD MI300X**, mit **Nvidias** Top-Consumer-GPU, der **RTX 5090**. Das Ziel war einfach: herauszufinden, ob eine 30.000 US-Dollar teure KI-GPU beim Passwort-Cracking tatsächlich einen Vorteil hat. ## Einrichtung des Tests Das **Specops**-Forschungsteam hat bereits frühere Arbeiten veröffentlicht, die untersuchen, wie lange Angreifer für das Brute-Force-Cracking von gehashten Passwörtern benötigen. In separaten Tests von MD5, bcrypt und SHA-256 maßen wir, wie schnell jeder Algorithmus mit derselben Hardware geknackt werden konnte. Um zu sehen, wie sich GPUs auf diesen Prozess auswirken, wandten wir uns an **Hashcat**, eines der am weitesten verbreiteten Tools zur Passwortwiederherstellung. **Hashcat** enthält Benchmarking-Funktionen, die zeigen, wie schnell verschiedene Hardware-Konfigurationen Passwort-Hashes berechnen können. Das ist wichtig, denn Passwort-Cracking ist letztendlich ein Zahlenspiel. Je schneller ein System Hashes generieren kann, desto schneller kann es Passwort-Vermutungen testen, bis es das richtige findet. Für diesen Vergleich betrachteten wir die **Hashcat**-Benchmark-Ergebnisse für fünf häufig vorkommende Hashing-Algorithmen: * MD5 * NTLM * bcrypt * SHA-256 * SHA-512 Diese decken die gängigen Algorithmen ab, die in **Active Directory** einer Organisation vorkommen, von älteren, schnellen Hashes, die relativ einfach per Brute-Force zu knacken sind, bis hin zu modernen Algorithmen mit weitaus stärkerer Kryptographie. Das bietet eine realistische Grundlage für unsere drei High-End-GPUs. Diese Produkte besetzen in ihren jeweiligen Märkten weitgehend eine ähnliche Leistungsklasse und eignen sich daher gut als Referenzpunkte für den Vergleich von Enterprise-KI-Hardware mit Consumer-GPUs. ## Die GPU-Passwort-Cracking-Ergebnisse | Algorithmus | H200 Hashrate | MI300X Hashrate | RTX 5090 Hashrate | | ----------- | ------------- | --------------- | --------------- | | MD5 | 124,4 GH/s | 164,1 GH/s | 219,5 GH/s | | NTLM | 218,2 GH/s | 268,5 GH/s | 340,1 GH/s | | bcrypt | 375,3 kH/s | 142,3 kH/s | 304,8 kH/s | | SHA-256 | 15092,3 MH/s | 24673,6 MH/s | 27681,6 MH/s | | SHA-512 | 5173,6 MH/s | 8771,4 MH/s | 10014,2 MH/s | Was sofort klar ist: Bei jedem getesteten Algorithmus übertrifft die **RTX 5090** beide KI-Beschleuniger in der rohen Hash-Generierungsgeschwindigkeit. Bei mehreren Funktionen hasht die **RTX 5090** Passwörter fast doppelt so schnell wie die **H200**. Der Preis-Leistungs-Vergleich ist bemerkenswert. Eine einzelne **H200** kostet mindestens zehnmal so viel wie eine **RTX 5090**, sodass man vernünftigerweise eine weitaus höhere Leistung vom KI-Beschleuniger in einem Eins-zu-Eins-Vergleich erwarten könnte. Das ist einfach nicht der Fall. Zusätzlich dazu baute **IBM** bereits 2017 ein Passwort-Cracking-Rig mit acht **Nvidia GTX 1080s**, dem damaligen Flaggschiff der Consumer-GPU. Dieses System erreichte eine NTLM-Hash-Cracking-Rate von 334 GH/s. Mit anderen Worten: Ein neun Jahre altes Consumer-GPU-Rig liefert eine ähnliche oder bessere Leistung beim Passwort-Cracking als die heutigen Flaggschiff-KI-Beschleuniger. Wenn man also die Frage beantwortet: „Ist eine 30.000 US-Dollar teure GPU gut im Passwort-Cracking?“, ist die Antwort klar: nein. ## Die wirkliche Gefahr für Organisationen Passwort-Cracking erfordert keine exotische oder spezialisierte Hardware. Professionelle Cracker und Angreifer haben bereits Zugang zu der gesamten Rechenleistung, die sie benötigen, um schwache Passwörter per Brute-Force zu knacken. In unseren SHA-256-Tests konnte ein Passwort, das Zahlen, Groß- und Kleinbuchstaben sowie Symbole verwendete, in nur 21 Stunden geknackt werden. Deshalb ist die Durchsetzung stärkerer Passwörter unerlässlich, und die wirksamste Verteidigung ist die Länge. Ein 15-stelliger Passwort-String mit derselben Mischung aus Zeichentypen, gehasht mit SHA-256, würde selbst mit leistungsstarker GPU-Hardware etwa 167 Milliarden Jahre zum Knacken benötigen. Zu diesem Zeitpunkt ist Brute-Force einfach kein realistischer Angriff. Die größere Gefahr sind Passwörter, die bereits bei Datenlecks kompromittiert wurden. Dies geschieht oft durch Passwort-Wiederverwendung. Sie können Mitarbeiter auffordern, lange, komplexe **Active Directory**-Passwörter zu erstellen und diese sicher zu speichern. Aber dieser Schutz verschwindet, wenn dasselbe Passwort auf persönlichen Geräten, Websites oder Anwendungen mit schwächeren Sicherheitskontrollen wiederverwendet wird. Wenn Angreifer kompromittierte Anmeldeinformationen einer bestimmten Person zuordnen können, ist es oft einfach, herauszufinden, wo sie arbeiten, und dieselbe Passwortkombination gegen Unternehmenskonten zu versuchen. Es gibt einen ganzen Untergrundmarkt von Initial-Access-Brokern, die sich genau auf diese Art von Einbruch spezialisiert haben. Dies unterstreicht die Bedeutung von Tools, die kompromittierte Passwörter innerhalb Ihrer Organisation erkennen können. Die frühzeitige Identifizierung kompromittierter Anmeldeinformationen ermöglicht es Sicherheitsteams, Konten zurückzusetzen und Angreifer zu blockieren, bevor diese Passwörter für den Zugriff verwendet werden. ### Wie Specops hilft Tools wie **Specops Password Policy** helfen hier auf zwei entscheidende Weise: * **Granulare Passwortrichtlinienverwaltung:** Unsere Lösung ermöglicht es Sicherheitsteams, feingranulare Passwortrichtlinien zu implementieren, die weit über die in **Active Directory** enthaltenen hinausgehen. Dies beinhaltet die Unterstützung von Passphrasen sowie vorgefertigte Compliance-Vorlagen, um sicherzustellen, dass Ihre Organisation die erforderlichen Standards erfüllt. Dynamisches Feedback leitet Benutzer an, starke Passwörter zu erstellen, die sie sich merken können, aber schwer zu knacken sind. * **Kontinuierliches Scannen nach kompromittierten Passwörtern:** Die Funktion „Breached Password Protection“ scannt kontinuierlich Ihr **Active Directory** gegen eine Datenbank mit mehr als 5 Milliarden eindeutigen kompromittierten Passwörtern. Anpassbare Nachrichten benachrichtigen Benutzer, wenn ihr Passwort kompromittiert ist.  Letztendlich sollten sich Organisationen nicht allein auf Passwörter als einzige Verteidigungslinie verlassen. Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Barriere, die Konten schützt, selbst wenn ein Passwort schließlich kompromittiert wird. **Specops Secure Access** bietet diese zusätzliche Sicherheitsebene für Windows-Anmeldungen, RDP- und VPN-Verbindungen.  Wenn Sie in