2026: Warum SMS Ihr Passwort rettet, auch wenn es längst geknackt ist
Jedes Jahr im Frühling sorgt eine einzige Grafik zuverlässig für Gesprächsstoff in der IT-Sicherheitsbranche: die Password Tabelle 2026 von Hive Systems. Sie zeigt in Ampelfarben, wie lange ein Angreifer braucht, um ein Passwort zu knacken – abhängig von Länge und Zeichenvielfalt. Grün heisst: sicher. Rot heisst: in Sekunden geknackt. Das Bild ist so eingängig, dass es jedes Jahr um die Welt geht, von Fachmedien zitiert wird und in unzähligen Security-Awareness-Schulungen auftaucht.
Nur: Wer sich die Tabelle genauer ansieht und vor allem die Fussnoten dazu liest, merkt schnell, dass «im grünen Bereich» längst nicht das ist, was es einmal war. Und dass die eigentlich spannende Erkenntnis gar nicht in den Farben steckt, sondern in einer einzigen Fussnote. Erfahren Sie in diesem Artikel was damit gemeint ist…
Was die Tabelle wirklich zeigt
Hive Systems veröffentlicht die Password Table seit 2020 und passt sie jedes Jahr an die aktuelle Hardware an, mit der Angreifer Passwort-Hashes brute-forcen. Die Entwicklung ist bemerkenswert: 2020 rechnete man noch mit einer einzelnen Grafikkarte. In der 2025er-Ausgabe simuliert Hive Systems bereits einen Angreifer mit zwölf parallel laufenden Nvidia-RTX-5090-Grafikkarten gegen ein realistisch konfiguriertes bcrypt-Hashing. Das Ergebnis: Selbst ein nach heutigen Mindeststandards «akzeptables» achtstelliges Passwort lässt sich im ungünstigsten Fall innerhalb weniger Monate knacken, sofern jemand mit ausreichend Budget und Rechenleistung gezielt danach sucht.
Noch entscheidender ist ein Punkt, den Hive Systems selbst betont: Diese Zeiten gelten nur, wenn das Passwort tatsächlich zufällig generiert wurde und noch nie irgendwo geleakt war. In der Praxis ist beides selten der Fall. Angreifer starten nicht bei null, sondern mit Listen aus früheren Datenlecks, gängigen Mustern und wiederverwendeten Kombinationen. Ein Passwort, das schon einmal in einem Leak aufgetaucht ist, gilt in der Tabelle praktisch sofort als kompromittiert – ganz unabhängig von seiner Länge.

Der eigentlich interessante Punkt: MFA fehlt im Modell
Im Kleingedruckten der Studie findet sich eine Einschränkung, die für die eigene Sicherheitsstrategie mehr aussagt als jede Farbskala: Das gesamte Modell geht davon aus, dass keine Multi-Faktor-Authentifizierung aktiv ist oder dass diese bereits umgangen wurde. Mit anderen Worten – die komplette Password Table beschreibt ein Szenario, das es in einem gut abgesicherten System gar nicht geben sollte.
Das ist die eigentliche Botschaft hinter der viralen Grafik: Ein Passwort ist immer nur ein einzelner Faktor. Egal wie lang, wie komplex oder wie zufällig es ist – sobald es die einzige Hürde zwischen Angreifer und Konto darstellt, ist es irgendwann angreifbar. Sei es durch brachiale Rechenleistung, durch Phishing oder schlicht durch ein Datenleck bei einem ganz anderen Anbieter, bei dem dasselbe Passwort wiederverwendet wurde.
Warum ein zweiter Faktor die Realität abbildet
Genau hier setzt Zwei-Faktor-Authentifizierung an. Sie verändert nicht, wie schwer ein Passwort zu erraten ist – sie verändert, wie viel ein erratenes oder gestohlenes Passwort einem Angreifer überhaupt bringt. Selbst wenn ein Passwort kompromittiert ist, fehlt dem Angreifer weiterhin der zweite Faktor, um sich tatsächlich anzumelden. Aus einem geknackten Passwort wird so im besten Fall ein wirkungsloses Zeichenwirrwarr.
In der Praxis ist die SMS-basierte Verifizierung dabei nach wie vor eine der zugänglichsten Lösungen: Sie funktioniert auf jedem Mobiltelefon, erfordert keine zusätzliche App, keine Registrierung bei einem Drittanbieter und keine technische Vorerfahrung der Nutzerinnen und Nutzer. Ein Einmalcode per SMS lässt sich zudem ohne grossen Integrationsaufwand in bestehende Login- und Transaktionsprozesse einbauen – ein Vorteil, der gerade für KMU mit begrenzten IT-Ressourcen den Unterschied macht zwischen «MFA auf der Roadmap» und «MFA, das morgen live geht». Auch eine 2FA per WhatsApp bietet sich natürlich an. Wie dies Lösung umzusetzen ist erfahren Sie hier
eCall Business Messaging: der Schweizer Partner für sichere SMS-Verifizierung
Genau für diesen Einsatzzweck haben wir eCall Business Messaging aufgebaut. Als Teil der F24 Schweiz AG bringen wir über 30 Jahre Erfahrung im A2P– und CPaaS-Bereich mit – und stellen SMS-Einmalcodes für Login, Transaktionsbestätigung oder Registrierung zuverlässig und in Millisekunden zu, über eine schlanke API-Anbindung.
Was uns dabei besonders für Schweizer Unternehmen auszeichnet:
- Datenhaltung in Schweizer Rechenzentren – kein Datenabfluss ins Ausland
- ISO-27001-zertifizierte Infrastruktur für nachweisbare Informationssicherheit
- DSG- und DSGVO-konforme Verarbeitung aller Nachrichteninhalte
- Direkte Netzanbindung an Schweizer und internationale Mobilfunknetze für hohe Zustellraten
- Einfache API-Integration, die sich in bestehende Login- und Checkout-Flows einbetten lässt
Ein starkes Passwort bleibt sinnvoll. Aber wie die eigene Grafik von Hive Systems ungewollt zeigt: Passwortstärke allein ist eine Rechnung mit einer Variable zu wenig. Erst ein zweiter Faktor sorgt dafür, dass Ihre Logins nicht nur auf dem Papier, sondern auch in der Praxis im grünen Bereich bleiben.
Interessiert an SMS für Ihre 2FA-Lösung? Kontaktieren Sie uns. Wir zeigen Ihnen gerne, wie Sie unsere Schweizer Lösung in Ihre 2FA integrieren lässt.
Quelle Text und Grafik:Hive Systems, «Are Your Passwords in the Green?», Password Table 2026.

Florian
Florian Frei ist Senior Marketing Manager bei F24 Schweiz AG und verantwortet die Positionierung der Marke eCall Business Messaging. In seinen Beiträgen schreibt er über professionelle Business Messaging Lösungen, Omnichannel Kommunikation, SMS, WhatsApp Business, 2FA, Datenschutz und digitale Kundenkommunikation für Unternehmen.
