Wie schnell kann ein 10-stelliges Passwort geknackt werden, das aus Kleinbuchstaben besteht und höchstens 2 Zahlen enthält?

Das hängt fast vollständig davon ab, **wie viele Kombinationen** ein Angreifer ausprobieren muss (Suchraum) und **wie viele Versuche pro Sekunde** möglich sind (Rate). Für „10 Stellen, nur Kleinbuchstaben, und insgesamt höchstens 2 Ziffern“ ergibt sich der Suchraum: - **0 Ziffern:** \(26^{10} \approx 1{,}41 \times 10^{14}\) - **genau 1 Ziffer:** \(\binom{10}{1}\,10^1\,26^9 \approx 5{,}43 \times 10^{14}\) - **genau 2 Ziffern:** \(\binom{10}{2}\,10^2\,26^8 \approx 9{,}40 \times 10^{14}\) **In Summe (max. 2 Ziffern):** \(\approx 1{,}64 \times 10^{15}\) Möglichkeiten. Die **erwartete** Knackzeit bei reinem Brute-Force liegt grob bei **(Suchraum / 2) / Rate** (im Mittel findet man das richtige Passwort nach der Hälfte aller Versuche). Daraus: - **100 Mio. Versuche/s (10^8/s):** Ø ca. **260 Jahre**, Worst-Case ca. **520 Jahre** - **10 Mrd. Versuche/s (10^10/s):** Ø ca. **2,6 Jahre**, Worst-Case ca. **5,2 Jahre** - **1 Bio. Versuche/s (10^12/s):** Ø ca. **9,5 Stunden**, Worst-Case ca. **19 Stunden** Wichtig: Diese Zeiten gelten nur für **Offline-Angriffe** (z.B. gestohlener Hash) und **reines Raten**. Bei **Online-Logins** (Rate-Limits, Sperren, 2FA) sind Brute-Force-Angriffe typischerweise praktisch nicht machbar; bei **schwachen Hash-Verfahren** oder **Wörterbuch-/Regelangriffen** kann es dagegen deutlich schneller gehen als Brute-Force.