Offline-Passwortangriffe

binsec academy GmbH Pentest Training Hacking

Im Gegensatz zu Online-Passwortangriffen liegen dem Angreifer bei Offline-Angriffen die Hashes der Benutzerpasswörter bereits vor. Dies kann beispielsweise durch ein Datenbank-Leak oder den unbefugten Zugriff auf ein kompromittiertes System erfolgen. Die Überprüfung von Passwortkandidaten findet anschließend lokal statt und ist vollständig unabhängig von den Schutzmechanismen des ursprünglichen Zielsystems.

Eine kryptografische Hashfunktion stellt eine Einwegfunktion dar, bei der Daten beliebiger Größe auf einen Wert fester Länge abgebildet werden. Die Rekonstruktion eines Passworts bedeutet daher nicht, den Hash „umzukehren“, sondern ein Passwort zu finden, das denselben Hashwert erzeugt.

Entscheidende Erfolgsfaktoren

Der Erfolg eines Offline-Angriffs hängt im Wesentlichen von drei Faktoren ab:

  1. Rechenleistung:
    Je mehr Prozessorleistung zur Verfügung steht, desto mehr Passwortkandidaten können pro Sekunde getestet werden. Moderne GPUs ermöglichen eine massive Parallelisierung und erreichen bei einfachen Hash-Verfahren Raten von mehreren Milliarden Versuchen pro Sekunde.

  2. Passwortstärke:
    Mit zunehmender Länge und Komplexität wächst der Suchraum exponentiell. Dies erhöht den notwendigen Zeitaufwand für einen erfolgreichen Angriff drastisch.

  3. Hash-Algorithmus:
    Klassische Funktionen wie MD5 oder SHA-1 sind sehr effizient berechenbar und daher besonders anfällig. Moderne Verfahren wie bcrypt, scrypt oder Argon2 erhöhen bewusst den Rechen- und Speicheraufwand (Key Stretching) und verlangsamen Angriffe erheblich.

Die Rolle von Salt und Kollisionen

Kryptografische Hashfunktionen sind so konstruiert, dass es praktisch unmöglich ist, gezielt Kollisionen zu erzeugen, also zwei unterschiedliche Eingaben mit demselben Hashwert zu finden. Für Passwortangriffe ist diese Eigenschaft jedoch von untergeordneter Bedeutung, da in der Praxis nicht nach beliebigen Kollisionen gesucht wird, sondern gezielt nach dem ursprünglichen Passwort durch systematisches Ausprobieren von Kandidaten.

Ein zentraler Schutzmechanismus ist der Einsatz von Salt. Ein Salt ist ein zufälliger Wert, der vor dem Hashing mit dem Passwort kombiniert wird. Dadurch wird sichergestellt, dass identische Passwörter nicht zu identischen Hashes führen.

Zusätzlich verhindert ein Salt die effiziente Nutzung vorberechneter Angriffe wie Rainbow Tables, da für jeden einzelnen Hash separate Berechnungen erforderlich wären. Angriffsergebnisse können somit nicht zwischen verschiedenen Datensätzen wiederverwendet werden.

Werkzeuge und spezialisierte Techniken

In der Praxis kommen verschiedene Werkzeuge zum Einsatz, die jeweils spezifische Stärken besitzen:

  • hashcat:
    Gilt aufgrund der leistungsfähigen GPU-Unterstützung als Standardwerkzeug für Hochgeschwindigkeits-Cracking.

  • John the Ripper (JtR):
    Zeichnet sich durch hohe Flexibilität und die Unterstützung einer Vielzahl, auch exotischer, Hash-Formate aus. Es wird häufig für CPU-basierte Analysen und als Ergänzung zu anderen Tools eingesetzt.

  • Rule-based Attacks:
    Wörterbuchlisten werden nicht statisch genutzt, sondern durch Regeln systematisch modifiziert, beispielsweise durch das Ersetzen von Zeichen, das Anhängen von Zahlen oder das Einfügen von Sonderzeichen. Diese Methode bildet typisches Benutzerverhalten realistisch ab und ist häufig erfolgreicher als reines Brute-Force.

  • Rainbow Tables und spezialisierte Tools:
    Werkzeuge wie Ophcrack nutzen vorberechnete Tabellen zur schnellen Auflösung von Hashes. Diese Technik ist jedoch nur bei unsicheren oder veralteten Verfahren ohne Salt (z. B. LM-Hashes) effektiv und spielt in modernen Systemen nur noch eine untergeordnete Rolle.

  • CyberChef:
    Ein vielseitiges Hilfsmittel zur schnellen Identifikation von Hash-Typen sowie für einfache kryptografische Analysen und Datenaufbereitung.

Fazit

Offline-Passwortangriffe sind hochgradig effizient, da sie nicht durch Netzwerk-Latenzen oder Schutzmechanismen wie Rate-Limiting oder Account-Sperren eingeschränkt werden. Sobald ein Angreifer Zugriff auf Passwort-Hashes erhält, hängt die Sicherheit maßgeblich von der Passwortstärke und der Qualität der eingesetzten Hashverfahren ab.

Moderne Hashing-Algorithmen in Kombination mit starken Passwörtern können den Aufwand eines Angriffs jedoch so weit erhöhen, dass dieser praktisch unwirtschaftlich wird.

Unterartikel

Pentest Training

Werfen Sie einen Blick auf die Kapitel vom Pentest Training und lernen Sie Pentesting:

  1. Vorwort
  2. Einführung
  3. Rechtliche Rahmenbedingungen
  4. Hacking vs. Penetration-Testing
  5. Klassifizierung
  6. Aussagekraft von Penetrationstest
  7. Penetration-Testing-Standards
  8. Der Hacking-Leitfaden
  9. Vorführung eines Pentests
  10. Risikobewertung von identifizierten Schwachstellen
  11. Aufbau Dokumentation und Berichterstellung
  12. Plauderei aus dem Nähkästchen: Insights von Dubius Payment Ltd.

binsec academy GmbH - Online IT Security Training with Practical Focus

Die binsec academy GmbH ist ein Anbieter von praxisorientierten Online-Trainings im Bereich IT-Sicherheit. Das Schulungsangebot umfasst unter anderem Penetration Testing und sichere Softwareentwicklung. Die Teilnehmer lernen in realitätsnahen Laborumgebungen, die typische IT-Infrastrukturen und Anwendungen simulieren. Die Kurse beinhalten anerkannte Standards wie den OWASP Top 10 und PCI DSS und sind in mehreren Programmiersprachen verfügbar. Nach erfolgreichem Abschluss erhalten die Teilnehmenden Zertifikate wie den Binsec Academy Certified Pentest Professional (BACPP) oder den Binsec Academy Certified Secure Coding Professional (BACSCP), die ihre praktischen Fähigkeiten zur Erkennung und Behebung von Sicherheitslücken belegen.

Gehe zu binsec acadmy GmbH

binsec GmbH – Experten für Penetrationstests

Die binsec GmbH ist ein deutsches IT-Sicherheitsunternehmen mit Schwerpunkt auf professionellen Penetrationstests. Mit über 10 Jahren Erfahrung führt das Team tiefgehende Sicherheitsprüfungen von Netzwerken, Webanwendungen, APIs und mobilen Apps durch. Zertifizierte Experten identifizieren und dokumentieren systematisch Sicherheitslücken, um Unternehmen dabei zu unterstützen, ihre IT-Sicherheit zu verbessern und Compliance-Anforderungen zu erfüllen.

Gehe zu binsec GmbH

Kontakt

binsec GmbH
Clemensstraße 6-8
60487 Frankfurt am Main
Germany

M

info@binsec.com

T

+49 69 2475607-0

Impressum

Geschäftsführer: Patrick Sauer
Prokurist: Dominik Sauer, Florian Zavatzki
Handelsregister: Frankfurt am Main, HRB97277
Umsatzsteuer-ID: DE290966808

© 2026 Alle Rechte vorbehalten binsec GmbH.

Datenschutzerklärung

© 2026 Alle Rechte vorbehalten binsec GmbH.

Datenschutzerklärung