MD5-Passwörter: 60 % in einer Stunde knackbar

Passwörter, die mit einer weit verbreiteten Hash-Methode gespeichert werden, sind möglicherweise weit weniger sicher, als viele Website-Betreiber annehmen. Laut einem Bericht von The Register, der sich auf Forschungsergebnisse des Sicherheitsunternehmens Kaspersky stützt, können 60 % der MD5-gehashten Passwörter aus einem Datensatz von über 231 Millionen einzigartigen Passwörtern mit einer einzelnen handelsüblichen Grafikkarte in unter einer Stunde geknackt werden. 48 % sollen sich demnach in weniger als 60 Sekunden entschlüsseln lassen.

Die Forschungsergebnisse wurden am 7. Mai 2026 veröffentlicht. Es ist jedoch zu beachten, dass der Artikel von The Register eine Sekundärquelle ist, die über die Ergebnisse von Kaspersky berichtet. Spezifische Methodendetails können im ursprünglichen Kaspersky-Bericht abweichen.

Was die Forschung ergab

Laut The Register verwendeten Kaspersky-Forscher eine einzelne Nvidia RTX 5090 Grafikkarte, um zu testen, wie schnell MD5-Passwort-Hashes geknackt werden können. Der Datensatz enthielt über 231 Millionen einzigartige Passwörter.

Der zentrale Befund, wie von The Register berichtet, lautet: Passwörter, die ausschließlich durch schnelle Hash-Algorithmen wie MD5 geschützt sind, sind nicht mehr sicher, wenn Angreifer sie bei einem Datenleck erbeuten. Zwei Faktoren treiben dies laut dem Bericht voran: die Vorhersehbarkeit von Passwörtern und zunehmend leistungsfähigere Grafikprozessoren.

Kaspersky wird mit den Worten zitiert: „Eine Stunde ist alles, was ein Angreifer braucht, um drei von fünf Passwörtern zu knacken, die er in einem Datenleck gefunden hat."

Die Forschung verglich die Ergebnisse laut The Register auch mit einer ähnlichen Studie, die Kaspersky 2024 durchgeführt hatte. Passwörter seien demnach 2026 „einige Prozent" leichter zu knacken als damals, wobei die genauen Zahlen aus der 2024er Studie in der Quelle nicht genannt werden.

Warum das für kleine Unternehmen relevant ist

Wenn Ihre Website Benutzerpasswörter speichert, kommt es entscheidend darauf an, wie diese Passwörter im Hintergrund geschützt werden. Viele ältere Website-Plattformen und Plugins verwenden noch immer MD5 zum Hashen von Passwörtern, was diese Forschung als nicht mehr ausreichend einstuft.

Es geht hier nicht um Bußgelder oder behördliche Maßnahmen. Es geht um das praktische Risiko für Ihre Kunden, falls Ihre Website jemals in ein Datenleck verwickelt sein sollte. Eine schwache Passwortspeicherung bedeutet, dass Angreifer schnell auf die Konten Ihrer Kunden zugreifen und dieselben Passwörter möglicherweise auch für andere Dienste nutzen könnten.

Wenn Sie nicht sicher sind, wie Ihre Website Passwörter speichert, lohnt es sich, Ihren Webentwickler oder Hosting-Anbieter zu fragen. Sie können auch unsere Sicherheits-Checkliste für kleine Unternehmen durchsehen und prüfen, ob Ihre WordPress-Plugins bekannte Sicherheitslücken aufweisen.

Was bedeutet das für Ihre Website?

Wenn Ihre Website Benutzerkonten oder einen Login-Bereich hat, ist die Art der Passwortspeicherung eine technische Entscheidung mit realen Folgen für die Sicherheit Ihrer Kunden. Fragen Sie Ihren Entwickler oder Plattformanbieter, ob Ihre Website einen modernen, langsamen Hash-Algorithmus anstelle von MD5 verwendet. Dieser Schritt ist ein unkomplizierter Weg, das Risiko zu verringern, ohne auf eine behördliche Verpflichtung zu warten.