Auch auf die Hashfunktion kommt es an

Wie schnell ein Hacker an das Passwort kommt, hängt laut Willi stark von der verwendeten Hashfunktion ab. So verwies er darauf, dass die Leistungsfähigkeit der verschiedenen Methoden sehr unterschiedlich ist. So können bei der gängigen MD5-Hashfunktion 50 Milliarden Hashes pro Sekunde verarbeitet werden. Somit lassen sich im Rahmen einer Brute-Force-Attacke mehr Werte «durchprobieren». Die Hashfunktion Sha512-crypt dagegen verarbeitet nur knapp 300'000 Werte pro Sekunde. Das Cracken von Passwörtern dauert somit um einiges länger.

Allerdings: Sowohl dieses als auch das nächste Rechenbeispiel beziehen sich auf eine ganz bestimmte Hardwarekonfiguration mit zwei leistungsstarken Grafikkarten.

Auch wie wichtig die Länge von Passwörtern ist, konnte Willi anhand von Rechenbeispielen sehr schön zeigen. Ein 7-stelliges mit MD5 codiertes Passwort lässt sich in gut 2 Stunden herausfinden, bei einem 8-stelligen dauert der Vorgang schon 7 Tage und bei einem 9-stelligen muss gar 2 Jahre lang «gepröbelt» werden.

Ebenfalls ein Faktor stellt gemäss Willi die verwendete Hardware eine Rolle, eine gewöhnliche CPU verarbeitet – wieder unter Verwendung von MD5 als Hashfunktion – 99 Millionen Hashes pro Sekunde. Besser ist es, einen Grafikprozessor GPU zu verwenden. Dann lassen sich nämlich 12 Milliarden Hashes pro Sekunde verarbeiten, wobei sich die letzten Zahlenbeispiele auf den Heim-PC von Willi beziehen.