Passwort-Crack-Simulator

Sehen Sie, wie schnell schwache Hashes im Browser getestet werden können. Alles läuft lokal.

Algorithmus

Warum Hashing wichtig ist

Passwörter werden meist nicht im Klartext gespeichert, sondern als Hash; beim Login werden Hash mit Hash verglichen. Schnelles, veraltetes Hashing zusammen mit vorhersehbaren Passwörtern ist viel leichter zu knacken.

Schnelle Hashes wie MD5 und SHA-1 erlauben Milliarden Kandidaten pro Sekunde auf einem einzelnen Rechner – kurze und häufige Passwörter werden schnell geknackt. Speicher-intensive Funktionen wie bcrypt und Argon2 sind bewusst langsam und speicherhungrig und erschweren Brute-Force deutlich.


Was ist Passwort-Cracking?

Beim Knacken werden viele Kandidaten ausprobiert und ihre Hashes mit dem Ziel-Hash verglichen. Bei einem Treffer ist der Kandidat das Passwort.

  1. 1Mit einem Ziel-Hash starten (der Wert, der geknackt werden soll).
  2. 2Einen Kandidaten nehmen (z. B. password123).
  3. 3Diesen Kandidaten mit demselben Algorithmus hashen wie den Ziel-Hash.
  4. 4Das Ergebnis mit dem Ziel-Hash vergleichen.
  5. 5Bei Übereinstimmung ist das Passwort gefunden.

Wie Angreifer raten

Schnell

Wörterbuchangriffe — Zuerst sehr häufige Passwörter testen.

Üblich

Regelbasierte Angriffe — Bekannte Muster abwandeln, z. B. Password1!.

Teuer

Brute Force — Alle Kombinationen in einem definierten Bereich testen.


Warum der Suchraum schnell wächst

Kleine Änderungen bei Länge oder Zeichensatz vergrößern den Aufwand enorm.

Jedes zusätzliche Zeichen multipliziert den Suchraum mit der Zeichensatzgröße. Bei 89 realistischen Symbolen bedeutet jede weitere Position ×89, nicht +89.

4 Ziffern10,000
8 Zeichen a-z A-Z 0-9 + Symbole6,016,120,510,000,000

Der Sprung von etwa 10.000 auf ~6 Billiarden Kombinationen zeigt, warum zufällige Passwörter mit 8+ Zeichen bei Brute-Force viel härter sind als kurze PINs.

Suchraumwachstum nach Länge (realistischer Zeichensatz: a-z, A-Z, 0-9, gängige Symbole (89 Zeichen))

L=189
L=27,921
L=3704,969
L=46.27e+7
L=55.58e+9
L=64.97e+11
L=74.42e+13
L=83.94e+15
L=93.50e+17
L=103.12e+19
L=112.78e+21
L=122.47e+23

Large values are shortened on mobile for readability.

Die groben Zeitschätzungen unten setzen einen idealen Offline-Angriff voraus, bei dem der Angreifer durchgehend raten kann. In der Praxis kann es je nach Hardware, Algorithmus-Implementierung und frühem Treffer schneller oder langsamer sein. Zudem werden vollständig zufällige Passwörter angenommen – das trifft in echten Leaks selten zu. Die Zahlen zeigen Größenordnungen, keine exakte Prognose.

Grobe Crack-Zeitschätzung für diesen Abschnitt (gewählter Algorithmus: SHA256)

L189

Mobil-CPU (grob)

<1 s

Leistungsstarke GPU-Cluster (grob)

<1 s

L27,921

Mobil-CPU (grob)

<1 s

Leistungsstarke GPU-Cluster (grob)

<1 s

L3704,969

Mobil-CPU (grob)

8 s

Leistungsstarke GPU-Cluster (grob)

<1 s

L46.27e+7

Mobil-CPU (grob)

12 min

Leistungsstarke GPU-Cluster (grob)

<1 s

L55.58e+9

Mobil-CPU (grob)

17 h

Leistungsstarke GPU-Cluster (grob)

<1 s

L64.97e+11

Mobil-CPU (grob)

64 d

Leistungsstarke GPU-Cluster (grob)

8 s

L74.42e+13

Mobil-CPU (grob)

15.6 y

Leistungsstarke GPU-Cluster (grob)

12 min

L83.94e+15

Mobil-CPU (grob)

1387 y

Leistungsstarke GPU-Cluster (grob)

18 h

Heim-PC
L93.50e+17

Mobil-CPU (grob)

123441 y

Leistungsstarke GPU-Cluster (grob)

68 d

L103.12e+19

Mobil-CPU (grob)

10986287 y

Leistungsstarke GPU-Cluster (grob)

16.5 y

Enterprise
L112.78e+21

Mobil-CPU (grob)

977779565 y

Leistungsstarke GPU-Cluster (grob)

1467 y

L122.47e+23

Mobil-CPU (grob)

87022381323 y

Leistungsstarke GPU-Cluster (grob)

130534 y

Heuristik: L=8 ≈ typische Heim-PC-Grenze; L=10 ≈ teuer selbst für GPU-Cluster.


Der Angriffszyklus: Warum geleakte Hashes wichtig sind

Angreifer raten Passwörter in der Regel nicht auf einer Live-Login-Seite. Sie zielen auf geleakte Datenbanken und brechen Hashes offline.

Der Datenleck-Schritt: Eine Benutzertabelle wird entwendet. Passwörter liegen typischerweise als Hash (nicht Klartext) vor; Angreifer extrahieren diese Hashes aus dem Dump. Hier ist der Link zu unserem Breach-Test: Datenleck-Test starten

Der Offline-Vorteil: Sind die Hashes erst gestohlen, brauchen Angreifer die Website nicht mehr. Sie testen Kandidaten auf eigener Hardware so schnell es geht – ohne Online-Sperren nach X Fehlversuchen.

Salz-Schutz: Ein einzigartiges Salt pro Passwort zwingt zum Einzel-Knacken jedes Kontos. Das verhindert Treffer auf einmal mit einem häufigen Passwort für viele Nutzer.

Warum Cracks scheitern: Passwörter widerstehen, wenn sie lang sind, weniger vorhersehbar und außerhalb des angenommenen Zeichensatzes oder der Regeln liegen – besonders bei langsamen Passwort-Hashing-Verfahren. Siehe auch: Starke Passwörter & NIST SP 800-63B-4 (2025) Sie können auch unsere Seite Passwort-Hashing ausprobieren—Hashing erfolgt vollständig im Browser (MD5 bis Argon2id).


Simulator verwenden

Der Simulator zeigt den echten Ablauf: raten, hashen, vergleichen.

Kein Treffer?

  • Passwort ist länger als die gewählte Maximal-Länge.
  • Passwort nutzt Zeichen außerhalb des Zeichensatzes.
  • Hash oder Algorithmus passt nicht zum Original.

Zuerst einen Hash erzeugen?

Passwort-Hashing-Tool öffnen

Werkzeugkasten des Angreifers (Ausgabe 2026)

Heute ist Raten ein automatisierter Hochgeschwindigkeitsprozess – angetrieben von GPU-Clustern und modellbasierten Mustern.

1. Hashcat: die GPU-Maschine

Hashcat Für rohe Geschwindigkeit mit massiv parallelen GPU-Lasten gebaut. Ältere Algorithmen lassen sich auf moderner Hardware extrem schnell testen.

Angreifer nutzen Mask-Angriffe – z. B. Großbuchstabe + 6 Kleinbuchstaben + 2 Ziffern – um bekannte Passwortrichtlinien gezielt statt blindem Brute Force zu treffen.

2. John the Ripper: der Mensch-Nachahmer

John the Ripper Stark bei regelbasiertem Knacken: Basiswörter werden in Tausende realistische Varianten verwandelt, die typische Nutzergewohnheiten widerspiegeln.

Hybrid-Modi verbinden Wörterbuch und Brute-Force – deshalb fallen viele „komplex aussehende“ Passwörter dennoch schnell.

3. KI-gestütztes Knacken (PassGAN-Art)

Neuere Ansätze nutzen neuronale Netze, trainiert auf geleakten Passwort-Korpora. Statt fester Ersetzungsregeln lernen Modelle Gewohnheiten und erzeugen wahrscheinliche Kandidaten. Das ursprüngliche PassGAN-Verfahren wird beschrieben in Hitaj et al., arXiv:1709.00440.

Realitätscheck

Cloud-Cracking macht Großangriffe günstig und automatisiert. Kurze Passwörter werden so schnell getestet, dass „kein Hochwertiges Ziel zu sein“ kein verlässlicher Schutz mehr ist.

Diese Tools sind Standard im professionellen Security-Testing und werden auch von Angreifern genutzt.