Passwort-Knackzeit-Rechner

Vergleichen Sie, wie schnell Ihr Passwort bei verschiedenen Hash-Algorithmen geknackt werden kann. Von NTLM (Sekunden) bis Argon2 (Jahrtausende) — sehen Sie, warum der Algorithmus entscheidend ist.

Ihr Passwort verlässt niemals Ihren Browser. Die gesamte Berechnung findet lokal statt — es werden keine Daten an einen Server gesendet.

Warum der Hash-Algorithmus über die Passwortsicherheit entscheidet

Passwort-Stärke ist relativ

Die Sicherheit eines Passworts hängt nicht nur von seiner Länge und Komplexität ab, sondern maßgeblich davon, wie es gespeichert wird. Ein 10-stelliges Passwort, das als NTLM-Hash in einem Active Directory liegt, kann in wenigen Minuten per Brute-Force geknackt werden. Dasselbe Passwort, gespeichert als Argon2id-Hash mit angemessenen Parametern, würde Jahrtausende erfordern. Unser Tool macht diesen Unterschied sichtbar.

Brute-Force-Geschwindigkeit moderner Hardware

Die Berechnungen basieren auf realistischen Benchmarks moderner GPU-Cluster. Ein System mit acht NVIDIA RTX 4090 Grafikkarten erreicht bei NTLM-Hashes rund 300 Milliarden Versuche pro Sekunde. Bei Kerberos RC4 sind es noch rund 40 Milliarden, bei bcrypt mit Kostenfaktor 10 dagegen nur etwa 150.000. Dieser Faktor von über zwei Millionen zwischen NTLM und bcrypt erklärt, warum die Wahl des Hash-Algorithmus für die Passwortsicherheit entscheidender ist als ein paar zusätzliche Zeichen.

Relevanz für Active Directory

In Unternehmensnetzwerken mit Active Directory ist die Hash-Algorithmus-Frage besonders kritisch. NTLM-Hashes werden im SAM-Speicher und im AD selbst abgelegt. Bei einem Kerberoasting-Angriff fordert ein normaler Domänenbenutzer Service Tickets an, die mit dem Passwort-Hash des Service Accounts verschlüsselt sind — und knackt diese offline. Service Accounts mit 8-12-stelligen Passwörtern und RC4-Verschlüsselung sind dabei in Minuten kompromittiert.

gMSA als Lösung

Group Managed Service Accounts (gMSA) lösen dieses Problem grundlegend. Ihr automatisch generiertes 120-Zeichen-Passwort erzeugt eine Entropie von über 780 Bit — selbst als NTLM-Hash ist das nicht knackbar. In Kombination mit der automatischen Rotation alle 30 Tage und dem Wegfall manueller Passwortverwaltung sind gMSAs die wirksamste Einzelmaßnahme gegen Kerberoasting und sollten für alle Service Accounts eingesetzt werden, die sie unterstützen.

Von der Theorie zur Praxis

Nutzen Sie dieses Tool, um Ihren Mitarbeitenden und Entscheidern die Auswirkungen schwacher Passwortrichtlinien zu demonstrieren. Ein 8-stelliges Passwort als NTLM-Hash: geknackt in Sekunden. Dasselbe Passwort als bcrypt: Tage bis Wochen. Ein 16-stelliges Passwort mit gemischten Zeichentypen als NTLM: Jahrtausende. Die Visualisierung macht abstrakte Sicherheitsempfehlungen greifbar — und unterstützt die Argumentation für ein Tiering-Modell mit dedizierten Admin-Konten und gMSAs.

Weiterführende Informationen

NTLM — Veraltetes Windows-AuthentifizierungsprotokollWarum NTLM so anfällig für Pass-the-Hash-Angriffe ist und wie Sie es schrittweise abschalten.
Kerberos — Ticket-basierte Authentifizierung in Active DirectoryWie Kerberos funktioniert, welche Angriffstechniken es gibt und warum AES-256 RC4 ersetzen sollte.
Kerberoasting — Service-Account-Passwörter offline knackenDie gefährlichste Angriffstechnik gegen Active Directory und wie gMSAs sie verhindern.
gMSA — Automatisch verwaltete Service Accounts120-Zeichen-Passwörter mit automatischer Rotation: Warum gMSAs Kerberoasting eliminieren.

Weitere Tools

Passwort-Stärke-CheckPrüfen Sie die Stärke eines einzelnen Passworts: Entropie, Zeichentypen, bekannte Muster und Tastatursequenzen.
Hash-AnalyzerErkennen Sie den Typ eines Hashwerts automatisch — MD5, SHA-256, bcrypt, Argon2 und weitere Algorithmen.

Professionelle Analyse gewünscht?

Unsere Tools geben einen ersten Überblick. Für eine umfassende Bewertung Ihrer IT-Sicherheit bieten wir professionelle Assessments.

Assessment anfragen