Passwortsicherheit, GPUs

Passwortsicherheit: GPUs knacken 40 Milliarden Hashes pro Sekunde

05.06.2026 - 22:11:27 | boerse-global.de

Sicherheitsexperten fordern Umstieg auf Argon2id, da alte Hash-Algorithmen wie SHA-1 durch moderne Hardware obsolet werden.

PayPal warnt: Moderne GPUs knacken Milliarden Passwörter pro Sekunde
Passwortsicherheit - A glowing padlock icon overlaid on a circuit board, surrounded by binary code, symbolizing digital security and password protection. 05.06.2026 - Bild: ĂĽber boerse-global.de

Moderne Grafikkarten knacken Milliarden Passwörter pro Sekunde – Unternehmen müssen handeln.

Der Zahlungsdienstleister PayPal hat in einem aktuellen Sicherheitsupdate drastische Warnungen ausgesprochen. Die Botschaft ist klar: Herkömmliche Verfahren zur Passwortspeicherung sind gegen heutige Hardware-Angriffe chancenlos. Besonders betroffen sind Unternehmen, die noch auf veraltete Algorithmen setzen.

Warum SHA-1 und MD5 tabu sind

Anzeige: Wer heute noch auf schnelle Hash-Algorithmen wie SHA-1 oder MD5 setzt, handelt fahrlässig. Eine einzelne GPU berechnet bis zu 40 Milliarden SHA-1-Hashes pro Sekunde – Ihre Passwort-Datenbank wäre in Minuten geknackt. Dieser Report zeigt Ihnen in 5 Schritten, wie Sie auf Argon2id migrieren und Ihre Compliance-Risiken minimieren. Jetzt kostenlosen Sicherheits-Report anfordern

Die Sicherheitsexperten von PayPal stellen unmissverständlich klar: Schnelle Hash-Algorithmen wie SHA-1 und MD5 sind für die Passwortspeicherung völlig ungeeignet. Das Problem liegt in ihrer ursprünglichen Bestimmung – sie wurden für Geschwindigkeit optimiert, nicht für Sicherheit.

Eine einzige moderne GPU kann zwischen 30 und 40 Milliarden SHA-1-Hashes pro Sekunde berechnen. Das macht Brute-Force-Angriffe auf kompromittierte Passwortdatenbanken zu einer Sache von Minuten. MD5 gilt zudem als vollständig gebrochen – Kollisionsangriffe und vorberechnete Rainbow-Tables machen den Algorithmus nutzlos.

Der Fall LinkedIn 2012 dient bis heute als abschreckendes Beispiel: 117 Millionen unsalted SHA-1-Hashes wurden damals gestohlen. Zwar ist SHA-256 für Datei-Integritätsprüfungen oder API-Signaturen weiterhin geeignet – zur Passwortsicherung ist es jedoch ebenfalls zu schnell.

Die neuen Standards fĂĽr 2026

Die aktuellen Branchenempfehlungen setzen auf Argon2id als primären Standard für Neuentwicklungen. Die technischen Vorgaben sehen drei Iterationen (t=3) und eine Speichernutzung von 64 MiB vor. Dieser „memory-hard"-Ansatz macht hardwarebeschleunigte Angriffe extrem teuer und zeitaufwendig.

Für Unternehmen mit Altsystemen bleibt bcrypt eine sichere Alternative – allerdings nur mit einem Kostenfaktor von mindestens 12. In Umgebungen, die FIPS-Konformität erfordern, empfiehlt sich PBKDF2 mit SHA-256, das nun mindestens 600.000 Iterationen benötigt. Das Ziel: eine Verifikationszeit von 100 bis 300 Millisekunden pro Hash.

Die Sicherheitsparameter müssen regelmäßig überprüft werden. Die Hardware-Leistung verzehnfacht sich erfahrungsgemäß alle fünf bis sieben Jahre. Moderne Strategien setzen daher auf drei Säulen: einen einzigartigen Salt für jedes Passwort, einen angemessenen Arbeitsfaktor und einen Pepper – einen geheimen Schlüssel, getrennt von der Datenbank gespeichert.

Angriffswelle im Mai und Juni 2026

Die verschärften Sicherheitsstandards kommen nicht von ungefähr. Ende Mai und Anfang Juni erschütterte eine Serie von Vorfällen die Branche. Eine Brute-Force-Kampagne gegen Zwei-Faktor-Authentifizierung führte zum Diebstahl weniger verschlüsselter Tresore von Dashlane-Nutzern – zwischen dem 31. Mai und 2. Juni. Zwar drangen die Angreifer nicht ins System ein, der Vorfall unterstreicht jedoch die Bedeutung starker Master-Passwörter.

Anzeige: Die Angriffswelle im Mai und Juni 2026 hat gezeigt: Selbst 2FA und Passwort-Manager sind nicht immun. Unternehmen mit Altsystemen mĂĽssen jetzt auf memory-hard Verfahren wie Argon2id umstellen. Unser Whitepaper liefert konkrete Kostenfaktor-Berechnungen und eine Pepper-Integrationsanleitung. Whitepaper: Passwort-Hashing-Standards 2026 jetzt sichern

Am 4. Juni entfernte Microsoft Edge seine benutzerdefinierte Master-Passwort-Funktion und setzt nun auf gerätebasierte Authentifizierung wie Windows Hello. Am selben Tag warnte die Polizei in Zypern vor einer lokalen PayPal-Telefonbetrugswelle: Automatisierte Anrufe täuschen gefälschte Transaktionen vor, um Opfer auf betrügerische Websites zu locken.

Weitere Schwachstellen dieser Woche: Ein ungepatchter Windows-Search-URI-Handler, der Angreifern das Abgreifen von NTLMv2-Hashes ermöglicht. Und ein Unternehmen verlor den Zugriff auf seine Systeme, weil es Passwörter im Klartext in Active-Directory-Beschreibungsfeldern gespeichert hatte.

Die Botschaft der Sicherheitsexperten ist eindeutig: Wer heute noch auf schnelle Hash-Algorithmen setzt, handelt fahrlässig. Die Zeit für eine Migration auf moderne Verfahren wie Argon2id ist längst überfällig.

So schätzen die Börsenprofis Aktien ein!

<b>So schätzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
FĂĽr. Immer. Kostenlos.
de | wissenschaft | 69490049 |