Offline-Passwortangriffe

Im Gegensatz zu Online-Passwortangriffen liegen dem Angreifer bei Offline-Angriffen die Hashes der Benutzerpasswörter bereits vor. Dies kann beispielsweise durch ein Datenbank-Leak oder den unbefugten Zugriff auf ein kompromittiertes System erfolgen. Die Überprüfung von Passwortkandidaten findet anschließend lokal statt und ist vollständig unabhängig von den Schutzmechanismen des ursprünglichen Zielsystems.

Eine kryptografische Hashfunktion stellt eine Einwegfunktion dar, bei der Daten beliebiger Größe auf einen Wert fester Länge abgebildet werden. Die Rekonstruktion eines Passworts bedeutet daher nicht, den Hash „umzukehren“, sondern ein Passwort zu finden, das denselben Hashwert erzeugt.

Entscheidende Erfolgsfaktoren

Der Erfolg eines Offline-Angriffs hängt im Wesentlichen von drei Faktoren ab:

  1. Rechenleistung:
    Je mehr Prozessorleistung zur Verfügung steht, desto mehr Passwortkandidaten können pro Sekunde getestet werden. Moderne GPUs ermöglichen eine massive Parallelisierung und erreichen bei einfachen Hash-Verfahren Raten von mehreren Milliarden Versuchen pro Sekunde.

  2. Passwortstärke:
    Mit zunehmender Länge und Komplexität wächst der Suchraum exponentiell. Dies erhöht den notwendigen Zeitaufwand für einen erfolgreichen Angriff drastisch.

  3. Hash-Algorithmus:
    Klassische Funktionen wie MD5 oder SHA-1 sind sehr effizient berechenbar und daher besonders anfällig. Moderne Verfahren wie bcrypt, scrypt oder Argon2 erhöhen bewusst den Rechen- und Speicheraufwand (Key Stretching) und verlangsamen Angriffe erheblich.

Die Rolle von Salt und Kollisionen

Kryptografische Hashfunktionen sind so konstruiert, dass es praktisch unmöglich ist, gezielt Kollisionen zu erzeugen, also zwei unterschiedliche Eingaben mit demselben Hashwert zu finden. Für Passwortangriffe ist diese Eigenschaft jedoch von untergeordneter Bedeutung, da in der Praxis nicht nach beliebigen Kollisionen gesucht wird, sondern gezielt nach dem ursprünglichen Passwort durch systematisches Ausprobieren von Kandidaten.

Ein zentraler Schutzmechanismus ist der Einsatz von Salt. Ein Salt ist ein zufälliger Wert, der vor dem Hashing mit dem Passwort kombiniert wird. Dadurch wird sichergestellt, dass identische Passwörter nicht zu identischen Hashes führen.

Zusätzlich verhindert ein Salt die effiziente Nutzung vorberechneter Angriffe wie Rainbow Tables, da für jeden einzelnen Hash separate Berechnungen erforderlich wären. Angriffsergebnisse können somit nicht zwischen verschiedenen Datensätzen wiederverwendet werden.

Werkzeuge und spezialisierte Techniken

In der Praxis kommen verschiedene Werkzeuge zum Einsatz, die jeweils spezifische Stärken besitzen:

  • hashcat:
    Gilt aufgrund der leistungsfähigen GPU-Unterstützung als Standardwerkzeug für Hochgeschwindigkeits-Cracking.

  • John the Ripper (JtR):
    Zeichnet sich durch hohe Flexibilität und die Unterstützung einer Vielzahl, auch exotischer, Hash-Formate aus. Es wird häufig für CPU-basierte Analysen und als Ergänzung zu anderen Tools eingesetzt.

  • Rule-based Attacks:
    Wörterbuchlisten werden nicht statisch genutzt, sondern durch Regeln systematisch modifiziert, beispielsweise durch das Ersetzen von Zeichen, das Anhängen von Zahlen oder das Einfügen von Sonderzeichen. Diese Methode bildet typisches Benutzerverhalten realistisch ab und ist häufig erfolgreicher als reines Brute-Force.

  • Rainbow Tables und spezialisierte Tools:
    Werkzeuge wie Ophcrack nutzen vorberechnete Tabellen zur schnellen Auflösung von Hashes. Diese Technik ist jedoch nur bei unsicheren oder veralteten Verfahren ohne Salt (z. B. LM-Hashes) effektiv und spielt in modernen Systemen nur noch eine untergeordnete Rolle.

  • CyberChef:
    Ein vielseitiges Hilfsmittel zur schnellen Identifikation von Hash-Typen sowie für einfache kryptografische Analysen und Datenaufbereitung.

Fazit

Offline-Passwortangriffe sind hochgradig effizient, da sie nicht durch Netzwerk-Latenzen oder Schutzmechanismen wie Rate-Limiting oder Account-Sperren eingeschränkt werden. Sobald ein Angreifer Zugriff auf Passwort-Hashes erhält, hängt die Sicherheit maßgeblich von der Passwortstärke und der Qualität der eingesetzten Hashverfahren ab.

Moderne Hashing-Algorithmen in Kombination mit starken Passwörtern können den Aufwand eines Angriffs jedoch so weit erhöhen, dass dieser praktisch unwirtschaftlich wird.

Unterartikel

Pentest Training

Werfen Sie einen Blick auf die Kapitel vom Pentest Training und lernen Sie Pentesting:

  1. Vorwort
  2. Einführung
  3. Rechtliche Rahmenbedingungen
  4. Hacking vs. Penetration-Testing
  5. Klassifizierung
  6. Aussagekraft von Penetrationstest
  7. Penetration-Testing-Standards
  8. Der Hacking-Leitfaden
  9. Vorführung eines Pentests
  10. Risikobewertung von identifizierten Schwachstellen
  11. Aufbau Dokumentation und Berichterstellung
  12. Plauderei aus dem Nähkästchen: Insights von Dubius Payment Ltd.

binsec academy GmbH – Professionelles Pentest Training Lab

Die binsec academy GmbH bietet mit ihrem Pentest Training Lab eine hochgradig praxisorientierte Online-Plattform für realistisches Penetration Testing. In isolierten Laborumgebungen simulieren wir komplexe Unternehmensnetzwerke und moderne Angriffsvektoren, um die praktischen Fähigkeiten angehender und professioneller Penetrationstester zu schärfen. Durch das Bestehen unserer anspruchsvollen, rein praktischen Prüfung erlangen Teilnehmer das anerkannte Zertifikat zum Binsec Academy Certified Pentest Professional (BACPP) – der fundierte Nachweis für die Fähigkeit, kritische Sicherheitslücken in IT-Infrastrukturen methodisch zu identifizieren.

Das Pentest Training Lab entdecken

binsec GmbH – Experten für Penetrationstests

Als operativer Pentesting-Kern der binsec group bietet die binsec GmbH seit 2013 hochwertige, von Experten durchgeführte Penetrationstests. Wir verzichten bewusst auf automatisierte Scans: Unsere festangestellten, zertifizierten Senior-Pentest-Experten liefern manuelle Deep-Dive-Analysen von Webanwendungen, APIs, mobilen Apps, komplexen Netzwerkinfrastrukturen, Cloud-Umgebungen und hochentwickelten Red-Team-Simulationen. Spezialisiert auf stark regulierte Sektoren wie Payment, Banking und Healthcare, bieten wir klare Risikobewertungen und handlungsorientierte Berichte, um Ihre geschäftskritischen Systeme effektiv zu bewerten.

Professionelle manuelle Penetrationstests anfordern

Kontakt

binsec GmbH
Clemensstraße 6-8
60487 Frankfurt am Main
Germany

M

info@binsec.com

T

+49 69 2475607-0

Impressum

Geschäftsführer: Patrick Sauer
Prokurist: Dominik Sauer, Florian Zavatzki
Handelsregister: Frankfurt am Main, HRB97277
Umsatzsteuer-ID: DE290966808

© 2026 Alle Rechte vorbehalten binsec GmbH. Das operative Kernunternehmen der binsec group.

Datenschutzerklärung

© 2026 Alle Rechte vorbehalten binsec GmbH. Das operative Kernunternehmen der binsec group.

Datenschutzerklärung