Moderne GPU’s kraken zwakke wachtwoorden binnen drie uur

zwak wachtwoord

Acht tekens is de minimumwachtwoordlengte op veel websites. Een kort wachtwoord is makkelijk te kraken, maar veel hangt af van hoe complex je het maakt.

Amerikaans onderzoeksbedrijf Hive Systems heeft onderzoek gevoerd naar hoe snel hackers wachtwoorden kunnen kraken, en waar die snelheid vanaf hangt. Een willekeurig wachtwoord blijkt in enkele seconden te kraken, zelfs met relatief goedkope consumententechnologie.

Ondoordringbare combinatie

Voor zijn jaarlijkse wachtwoordtabel voor 2025 testte Hive Systems hoe snel een aanvaller met een opstelling van twaalf RTX 5090-GPU’s wachtwoorden van verschillende lengtes en complexiteiten kan achterhalen. Het resultaat is onrustwekkend: een wachtwoord van acht tekens met alleen cijfers is onmiddellijk gekraakt. Als je in die acht karakters ook kleine letters gebruikt, duurt het drie weken.

Om zo veilig mogelijk te zijn, gebruik je een wachtwoord van achttien karakters met kleine letters, hoofdletters, cijfers en symbolen. Dan hebben hackers maar liefst 463 quintiljoen jaren (463,000,000,000,000,000) nodig om het te ontcijferen. Onmogelijk te hacken, dus.

tabel wachtwoord complexiteit hacken
Bron: Hive Systems

AI maakt het nog erger

Wie denkt dat een hacker geen andere methoden kent, vergeet hoe snel AI-systemen evolueren. Hive Systems testte ook hoe snel de hardware die ChatGPT traint en de hardware waarop de GPT-3 en -4 AI-modellen op draait wachtwoorden kraakt. Met die systemen is een complex wachtwoord van acht tekens binnen twee maanden geraden. Een eenvoudig in minder dan een uur.

Dat is te wijten aan de krachtigere hardware en de verouderde beveiliging bij sommige diensten. Hive wijst onder meer naar de LastPass-breach uit 2022, waarbij miljoenen opgeslagen wachtwoorden onvoldoende versleuteld waren. Een moderne GPU-cluster kan die met gemak doorbreken.

Wat kun je doen?

Gebruik wachtwoorden van minstens zestien tekens met hoofdletters, cijfers en speciale symbolen. Nog beter: schakel over op passkeys. Die zijn bestand tegen brute-forceaanvallen en phishing, schrijft PCWorld. Combineer dat met een wachtwoordmanager en tweefactorauthenticatie en je staat al veel sterker.