Table of Contents

Kostenloses Active-Directory-Audit-Tool

Jetzt ausprobieren

[Neue Studie] Bedeutet Argon2, dass Ihr Passwort nicht zu knacken ist?

Table of Contents

In früheren von Specops veröffentlichten Forschungsergebnissen zum Passwort-Cracking wurde untersucht, wie lange Angreifer benötigen, um mit gängigen Hash-Algorithmen wie MD5 und bcrypt geschützte Hashes per Brute-Force-Angriff zu knacken. Ein Großteil dieser Forschung konzentriert sich darauf, wie sich durch Hardware-Fortschritte die Zeit verkürzt, die zur Wiederherstellung von Klartext-Passwörtern benötigt wird.

Doch was passiert, wenn Sie einen gehärteten Hash-Algorithmus wie Argon2 verwenden? In diesem Fall hat die Hardware kaum Einfluss darauf, wie aufwendig die Wiederherstellung eines Klartext-Passworts ist. Und bedeutet Argon2, dass Sie sich keine Gedanken mehr über die Komplexität von Passwörtern oder das Blockieren kompromittierter Passwörter machen müssen?

Diese Untersuchung fällt zeitlich mit der jüngsten Aufnahme von über 60 Millionen kompromittierten Passwörtern in den Dienst „Specops Breached Password Protection“ zusammen. Diese Passwörter stammen sowohl aus unserem Honeypot-Netzwerk als auch aus Quellen der Bedrohungsanalyse.

Was ist Argon2?

Argon2 ist eine Schlüsselableitungsfunktion (KDF), die 2015 den „Password Hashing Competition“ gewann. Sie wurde entwickelt, um Brute-Force-Angriffe rechnerisch aufwendiger zu machen, indem der Vorteil begrenzt wird, den Angreifer:innen durch GPUs und andere leistungsfähige Hardware beim Passwort-Cracking erzielen können.

Die größte Stärke von Argon2 besteht darin, dass es speicherintensiv ist. Das bedeutet, dass es so konfiguriert werden kann, dass für jeden Versuch zur Passwort-Hash-Berechnung eine bestimmte Menge an Speicher benötigt wird. Dadurch können Angreifer nicht einfach immer mehr GPU-Kerne hinzufügen und dabei die gleichen Leistungssteigerungen erwarten, wie sie bei schnelleren Algorithmen wie MD5 oder SHA-1 erzielt werden.

Es gibt drei Varianten des Algorithmus:

  • Argon2d: Entwickelt, um GPU-Cracking-Angriffen zu widerstehen.
  • Argon2i: Entwickelt, um Seitenkanalangriffe abzuwehren.
  • Argon2id: Ein hybrider Ansatz, der Elemente von Argon2d und Argon2i kombiniert.

Im Rahmen dieser Untersuchung konzentrieren wir uns auf Argon2id. In den meisten Szenarien der Passwort-Hash-Erzeugung ist Argon2id die empfohlene Allzweckoption, da es ein Gleichgewicht zwischen der Widerstandsfähigkeit gegen GPU-basiertes Cracking und dem Schutz vor Seitenkanalangriffen bietet.

Allerdings ist Argon2id nicht unbedingt die stärkste Wahl für jedes spezifische Bedrohungsmodell. Wenn beispielsweise bekannt ist, dass eine Implementierung besonders anfällig für Seitenkanalangriffe ist, könnte Argon2i besser geeignet sein. Für die meisten Unternehmen bietet Argon2id jedoch das beste Gleichgewicht zwischen Sicherheit und praktischer Umsetzbarkeit.

specops password auditor 7.5 main reporting screen
Schlummern kompromittierte Kennwörter in Ihrem Active Directory?

Methodik

Wie bereits zuvor gezeigt, bieten spezialisierte KI-Beschleuniger wie Nvidias H200 keinen nennenswerten Vorteil für das Passwort-Cracking. Die Leistung beim Passwort-Cracking hängt nicht primär von großen Mengen an GPU-Speicher ab, sondern wird hauptsächlich durch die Hashrate, also die Anzahl der Hash-Berechnungen, die ein System pro Sekunde durchführen kann, bestimmt.

Vor diesem Hintergrund haben wir die RTX 5090 von Nvidia als Referenz-GPU verwendet, da sie die High-End-Consumer-Hardware repräsentiert, die ein Angreifer heutzutage typischerweise einsetzen würde. Unser Setup umfasste acht RTX-5090-GPUs. Cloud-Anbieter vermieten vergleichbare Hardware derzeit für etwa 5 US-Dollar pro Stunde. Das macht sie zu einem praktischen Maßstab für die Schätzung der Kosten für das Offline-Passwort-Cracking.

Da Argon2 speziell darauf ausgelegt ist, den Leistungsvorteil leistungsstarker GPUs zu reduzieren, haben wir dieselben Tests auch auf einer einzelnen AMD-EPYC-Server-CPU durchgeführt.

Passwort-Cracking-Zeiten mit Argon2

Knackzeiten für den 8×5090-System

Anzahl der Zeichen Nur Zahlen Nur Kleinbuchstaben Groß- und Kleinbuchstaben Zahlen, Groß- und Kleinbuchstaben Zahlen, Groß- und Kleinbuchstaben sowie Symbole
4 20.41 Sek. 15.54 Min. 4.14 Std. 8.38 Std. 1.92 Tage
5 3.40 Min. 6.74 Std. 8.98 Tage 21.64 Tage 182.77 Tage
6 34.01 Min. 7.30 Tage 1.28 Jahre 3.67 Jahre 47.54 Jahre
7 5.67 Std. 189.72 Tage 66.48 Jahre 227.74 Jahre 4,516 Jahre
8 2.36 Tage 13.50 Jahre 3,457 Jahre 14,120 Jahre 429,000 Jahre
9 23.62 Tage 351.12 Jahre 179,800 Jahre 875,400 Jahre 40.76 Millionen Jahre
10 236.21 Tage 9,129 Jahre 9.35 Millionen Jahre 54.28 Millionen Jahre 3.87 Milliarden Jahre
11 6.47 Jahre 237,400 Jahre 486.1 Millionen Jahre 3.37 Milliarden Jahre 367.8 Milliarden Jahre
12 64.67 Jahre 6.17 Millionen Jahre 25.28 Milliarden Jahre 208.6 Milliarden Jahre 34.94 Billionen Jahre
13 646.70 Jahre 160.5 Millionen Jahre 1.31 Billionen Jahre 12.94 Billionen Jahre 3.32 Billiarden Jahre
14 6,467 Jahre 4.17 Milliarden Jahre 68.35 Billionen Jahre 803 Billionen Jahre 315.4 Billiarden Jahre
15 64,670 Jahre 108.5 Milliarden Jahre 3.55 Billiarden Jahre 49.73 Billiarden Jahre 29.96 Trillionen Jahre
16 646,700 Jahre 2.83 Billionen Jahre 184.8 Billiarden Jahre 3.08 Trillionen Jahre 2.85 Trilliarden Jahre
17 6.47 Millionen Jahre 73.33 Billionen Jahre 9.61 Trillionen Jahre 191.1 Trillionen Jahre 270.4 Trilliarden Jahre
18 64.67 Millionen Jahre 1.91 Billiarden Jahre 499.8 Trillionen Jahre 11.85 Trilliarden Jahre 25.69 Quadrillionen Jahre
19 646.7 Millionen Jahre 49.57 Billiarden Jahre 25.99 Trilliarden Jahre 734.8 Trilliarden Jahre 2.44 Quadrilliarden Jahre
20 6.47 Milliarden Jahre 1.29 Trillionen Jahre 1.35 Quadrillionen Jahre 45.55 Quadrillionen Jahre 231.8 Quadrilliarden Jahre
21 64.67 Milliarden Jahre 33.51 Trillionen Jahre 70.27 Quadrillionen Jahre 2.82 Quadrilliarden Jahre 22.02 Quintillionen Jahre
22 646.7 Milliarden Jahre 871.2 Trillionen Jahre 3.65 Quadrilliarden Jahre 175.1 Quadrilliarden Jahre 2.09 Quintilliarden Jahre

Knackzeiten für das 1xEPYC-9B14-System

Anzahl der Zeichen Nur Ziffern Nur Kleinbuchstaben Groß- und Kleinbuchstaben Ziffern, Groß- und Kleinbuchstaben Ziffern, Groß- und Kleinbuchstaben, Symbole
4 13,70 Sek. 10,43 Min. 2,78 Std. 5,62 Std. 1,29 Tage
5 2,28 Min. 4,52 Std. 6,03 Tage 14,53 Tage 122,68 Tage
6 22,83 Min. 4,90 Tage 313,46 Tage 2,47 Jahre 31,91 Jahre
7 3,81 Std. 127,34 Tage 44,63 Jahre 152,87 Jahre 3.031 Jahre
8 1,59 Tage 9,06 Jahre 2.321 Jahre 9.478 Jahre 288.000 Jahre
9 15,85 Tage 235,69 Jahre 120.700 Jahre 587.600 Jahre 27,36 Millionen Jahre
10 158,55 Tage 6.128 Jahre 6,28 Millionen Jahre 36,43 Millionen Jahre 2,60 Milliarden Jahre
11 4,34 Jahre 159.300 Jahre 326,3 Millionen Jahre 2,26 Milliarden Jahre 246,9 Milliarden Jahre
12 43,41 Jahre 4,14 Millionen Jahre 16,97 Milliarden Jahre 140 Milliarden Jahre 23,46 Billionen Jahre
13 434,08 Jahre 107,7 Millionen Jahre 882,3 Milliarden Jahre 8,68 Billionen Jahre 2,23 Billiarden Jahre
14 4.341 Jahre 2,80 Milliarden Jahre 45,88 Billionen Jahre 538,3 Billionen Jahre 211,7 Billiarden Jahre
15 43.410 Jahre 72,81 Milliarden Jahre 2,39 Billiarden Jahre 33,38 Billiarden Jahre 20,11 Trillionen Jahre
16 434.100 Jahre 1,89 Billionen Jahre 124,1 Billiarden Jahre 2,07 Trillionen Jahre 1,91 Trilliarden Jahre
17 4,34 Millionen Jahre 49,23 Billionen Jahre 6,45 Trillionen Jahre 128,3 Trillionen Jahre 181,5 Trilliarden Jahre
18 43,41 Millionen Jahre 1,28 Billiarden Jahre 335,5 Trillionen Jahre 7,96 Trilliarden Jahre 17,24 Quadrillionen Jahre
19 434,1 Millionen Jahre 33,27 Billiarden Jahre 17,44 Trilliarden Jahre 493,2 Trilliarden Jahre 1,64 Quadrilliarden Jahre
20 4,34 Milliarden Jahre 865 Billiarden Jahre 907,1 Trilliarden Jahre 30,58 Quadrillionen Jahre 155,6 Quadrilliarden Jahre
21 43,41 Milliarden Jahre 22,49 Trillionen Jahre 47,17 Quadrillionen Jahre 1,90 Quadrilliarden Jahre 14,78 Quintillionen Jahre
22 434,1 Milliarden Jahre 584,8 Trillionen Jahre 2,45 Quadrilliarden Jahre 117,5 Quadrilliarden Jahre 1,40 Quintilliarden Jahre

Die immer leichtere Verfügbarkeit von High-End-Hardware hat spürbare Auswirkungen auf weniger widerstandsfähige Passwort-Hash-Algorithmen wie bcrypt. In unserer früheren Untersuchung haben wir die Leistung der RTX 4090 und ihres Nachfolgers, der RTX 5090, beim Knacken von bcrypt-Hashes verglichen und festgestellt, dass die neuere GPU etwa 65 % schneller war.

Diese Leistungssteigerung lässt sich jedoch nicht einfach auf wirklich widerstandsfähige Algorithmen wie Argon2 übertragen. Wie bereits erwähnt, wurde Argon2 entwickelt, um den Vorteil der GPU-Leistung der RTX 5090 zu neutralisieren. Dies zeigt sich deutlich im Unterschied der Knackzeiten zwischen Argon2 und im Vergleich zu weniger widerstandsfähigen Algorithmen wie SHA256 benötigt werden.

Knackzeiten von Argon2 im Vergleich zu SHA256

In unseren Tests erreichte Argon2 eine Hashrate von lediglich 490 H/s, während es bei SHA-256 221 GH/s waren. Anders ausgedrückt war Argon2 auf derselben Hardware etwa 451 Millionen Mal langsamer zu knacken als SHA-256. Ein Passwort, das bei einer Hashing-Methode mit SHA-256 in einer Sekunde geknackt werden könnte, würde mit Argon2 beispielsweise mehr als 14 Jahre benötigen.

Anzahl der Zeichen Nur Zahlen Nur Kleinbuchstaben Groß- und Kleinbuchstaben Zahlen, Groß- und Kleinbuchstaben Zahlen, Groß- und Kleinbuchstaben, Symbole
4 Sofort Sofort Sofort Sofort Sofort
5 Sofort Sofort Sofort Sofort Sofort
6 Sofort Sofort Sofort Sofort 3,33 Sek.
7 Sofort Sofort 4,65 Sek. 15,93 Sek. 5,27 Min.
8 Sofort Sofort 4,03 Min. 16,47 Min. 8,34 Std.
9 Sofort 24,57 Sek. 3,49 Std. 17,01 Std. 33,01 Tage
10 Sofort 10,65 Min. 7,57 Tage 43,96 Tage 8,58 Jahre
11 Sofort 4,61 Std. 1,08 Jahre 7,46 Jahre 815,57 Jahre
12 4,52 Sek. 5,00 Tage 56,05 Jahre 462,60 Jahre 77.480 Jahre
13 45,25 Sek. 129,94 Tage 2.914 Jahre 28.680 Jahre 7,36 Millionen Jahre
14 7,54 Min. 9,25 Jahre 151.500 Jahre 1,78 Millionen Jahre 699,3 Millionen Jahre
15 1,26 Std. 240,49 Jahre 7,88 Millionen Jahre 110,3 Millionen Jahre 66,43 Milliarden Jahre
16 12,57 Std. 6.253 Jahre 409,8 Millionen Jahre 6,84 Milliarden Jahre 6,31 Billionen Jahre
17 5,24 Tage 162.600 Jahre 21,31 Milliarden Jahre 423,8 Milliarden Jahre 599,5 Billionen Jahre
18 52,37 Tage 4,23 Millionen Jahre 1,11 Billionen Jahre 26,28 Billionen Jahre 56,95 Billiarden Jahre
19 1,43 Jahre 109,9 Millionen Jahre 57,63 Billionen Jahre 1,63 Billiarden Jahre 5,41 Trillionen Jahre
20 14,34 Jahre 2,86 Milliarden Jahre 3,00 Billiarden Jahre 101 Billiarden Jahre 514 Trillionen Jahre
21 143,39 Jahre 74,29 Milliarden Jahre 155,8 Billiarden Jahre 6,26 Trillionen Jahre 48,83 Trilliarden Jahre
22 1.434 Jahre 1,93 Billionen Jahre 8,10 Trillionen Jahre 388,3 Trillionen Jahre 4,64 Quadrillionen Jahre

Schätzungen der Knackzeiten sind beim Vergleich von Hash-Algorithmen nach wie vor nützlich. Sie bieten eine Grundlage, um zu verstehen, wie sich Hardware-Verbesserungen auf die Passwortwiederherstellung auswirken. Allerdings verlassen sich echte Angreifer selten ausschließlich auf reine Brute-Force-Angriffe.

Die Daten zeigen jedoch, dass Brute-Force-Angriffe bei einer gut konfigurierten Argon2-Implementierung schnell ihre Aussagekraft als Vergleichsmaßstab verlieren. In der Praxis ist die Wiederherstellung eines starken, zufällig generierten Passworts auf diesem Weg kaum möglich – es sei denn, es wird eine bisher unbekannte Schwachstelle in der Implementierung entdeckt oder die Quanteninformatik erzielt einen Durchbruch in der Kryptoanalyse.

Ist Argon2 unknackbar?

Zwar macht Argon2id das Knacken von Passwörtern erheblich schwieriger, „schwieriger“ bedeutet jedoch nicht „unmöglich“.

Angreifer und Sicherheitsforscher sind sehr effektiv darin, Wortlisten, Regelsätze und Tools zu entwickeln, die ihre Chancen erhöhen, selbst aus gut geschützten Hashes Passwörter wiederherzustellen. Beim praktischen Passwort-Cracking geht es in der Regel nicht darum, alle möglichen Kombinationen auszuprobieren. Erfolg bedeutet, bessere Vermutungen schneller anzustellen.

Eine Lösung, die wir in aktuellen Forschungsarbeiten untersucht haben, ist der Einsatz von Tools, die weder GPUs noch Hashcat verwenden: mdxfind gewinnt zunehmend an Bedeutung, da es die Leistung bei Angriffen auf widerstandsfähige und weniger verbreitete Algorithmen verbessert.

In unseren Tests erreichte beispielsweise ein System mit acht RTX-5090-Karten etwa 490 H/s gegen Argon2id. Im Vergleich dazu erreichte mdxfind auf einer einzelnen AMD-EPYC-Server-CPU bis zu 730 H/s. Während eine RTX-5090-GPU mehr als 5.000 US-Dollar kosten kann, ist die betreffende EPYC-9B14-CPU bereits ab etwa 2.100 US-Dollar erhältlich. Ein Angreifer mit der passenden Hardware und den richtigen Werkzeugen kann dennoch einige der Hashes knacken.

Hashcat attempting to brute force Argon2

Hashcat versucht, Argon2id per Brute-Force zu knacken

mdxfind cracking Argon2

mdxfind knackt Argon2id

Kann Argon2 die Kompromittierung von Passwörtern verhindern?

Argon2 erschwert Brute-Force-Angriffe zwar erheblich, kann jedoch nicht alle passwortbasierten Angriffe verhindern. Selbst mit einem starken Hash-Algorithmus müssen Unternehmen zwei gängige Angriffspfade weiterhin berücksichtigen:

  • Kompromittierte Passwörter: Wenn ein Angreifer das Passwort eines Benutzers bereits aus einem früheren Datenleck, einem Phishing-Angriff oder einer Infektion mit einem Infostealer bereits besitzt, muss er den Hash nicht knacken. Das Konto sollte in jedem Fall als kompromittiert behandelt werden.
  • Gezieltes Passwort-Cracking: Hierbei nutzen Angreifer verschiedene Techniken, um fundiertere Vermutungen anzustellen. Zwar erhöht Argon2 den Aufwand für jeden einzelnen Versuch, doch schwache oder vorhersehbare Passwörter können weiterhin wiederhergestellt werden.

Aus diesem Grund sollte Argon2 im Rahmen einer umfassenderen Strategie zur Passwortsicherheit eingesetzt werden. Zwar erhöht es den Aufwand für Offline-Cracking, löst jedoch nicht die Probleme der Passwortwiederverwendung, von Phishing, von Problemen bei der Multi-Faktor-Authentifizierung oder der Verwendung bereits kompromittierter Anmeldedaten.

Anzahl der Zeichen Nur Zahlen Nur Kleinbuchstaben Groß- und Kleinbuchstaben Zahlen, Groß- und Kleinbuchstaben Zahlen, Groß- und Kleinbuchstaben, Symbole
4 Sofort Sofort Sofort Sofort Sofort
5 Sofort Sofort Sofort Sofort Sofort
6 Sofort Sofort Sofort Sofort Sofort
7 Sofort Sofort Sofort Sofort Sofort
8 Sofort Sofort Sofort Sofort Sofort
9 Sofort Sofort Sofort Sofort Sofort
10 Sofort Sofort Sofort Sofort Sofort
11 Sofort Sofort Sofort Sofort Sofort
12 Sofort Sofort Sofort Sofort Sofort
13 Sofort Sofort Sofort Sofort Sofort
14 Sofort Sofort Sofort Sofort Sofort
15 Sofort Sofort Sofort Sofort Sofort
16 Sofort Sofort Sofort Sofort Sofort
17 Sofort Sofort Sofort Sofort Sofort
18 Sofort Sofort Sofort Sofort Sofort
19 Sofort Sofort Sofort Sofort Sofort
20 Sofort Sofort Sofort Sofort Sofort
21 Sofort Sofort Sofort Sofort Sofort
22 Sofort Sofort Sofort Sofort Sofort

Finden Sie schwache und kompromittierte Passwörter in Ihrem Active Directory

Das aktuelle Update des Dienstes „Breached Password Protection” erweitert die von Specops Password Auditor verwendete Express-Blockliste zudem um mehr als 5,59 Millionen kompromittierte Passwörter.

Mithilfe eines schreibgeschützten Active-Directory-Scans zeigt Specops Password Auditor, wie viele Passwörter Ihrer Endbenutzer schwach, wiederverwendet oder Angreifern bereits bekannt sind.

Sie erhalten einen kostenlosen, anpassbaren Bericht über passwortbezogene Risiken in Ihrer gesamten Umgebung, einschließlich schwacher Passwortrichtlinien, kompromittierter Passwörter sowie veralteter oder inaktiver Konten.

Laden Sie Ihr kostenloses Audit-Tool noch heute herunter.

So verbessern Sie die Passwortsicherheit mit Argon2

Wenn Passwort-Hashes offengelegt werden – sei es durch eine Sicherheitsverletzung in Ihrer eigenen Umgebung oder bei einem Drittanbieter –, bestimmt die Stärke der Benutzerpasswörter weiterhin, wie schwer sie wiederherzustellen sind.

Basierend auf unseren Tests sollten Unternehmen Argon2 mit einer Passwortrichtlinie kombinieren, die Folgendes umfasst:

  • eine Mindestlänge von 15 Zeichen für Passwörter.
  • Die Unterstützung langer Passphrasen anstelle der Empfehlung kürzerer, komplexer Passwörter, die für Benutzer schwerer zu merken sind.
  • eine Kombination verschiedener Zeichentypen, idealerweise mit Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen.
  • ein benutzerdefiniertes Wörterbuch gesperrter Passwörter, das unternehmensspezifische Begriffe wie Firmennamen, Produktnamen und andere öffentlich zugängliche Schlüsselwörter enthält. Diese könnten von Angreifern zur Erstellung gezielter Wortlisten genutzt werden. Tools wie CeWL können dabei helfen, solche Begriffe aus öffentlich zugänglichen Websites zu identifizieren und der Sperrliste hinzuzufügen.
  • Schutz vor kompromittierten Passwörtern, der verhindert, dass Benutzer Passwörter wählen, die bereits in bekannten Datenlecks aufgetaucht sind.
  • Implementieren Sie Specops Breached Password Protection.

Argon2 verringert den Vorteil, den Angreifer durch leistungsstarke und leicht verfügbare Hardware erzielen können, erheblich. In Kombination mit strengen Passwortrichtlinien und dem Schutz vor kompromittierten Passwörtern macht es die Wiederherstellung nutzbarer Passwörter zudem deutlich aufwendiger und verringert die Erfolgswahrscheinlichkeit erheblich.

Kompromittierte Passwörter kontinuierlich blockieren

Argon2 zeigt, dass selbst eine starke Passwort-Hash-Funktion keine gute Passwort-Hygiene ersetzt. Benutzer benötigen nach wie vor eindeutige Passwörter und Unternehmen müssen weiterhin die Risiken in ihrem Active Directory überblicken.

Specops Password Auditor bietet Unternehmen einen praktischen Ausgangspunkt, indem er Passwortrisiken im gesamten Active Directory identifiziert. Allerdings handelt es sich dabei nur um eine Momentaufnahme.

Mit Specops Password Policy und Breached Password Protection können sich Unternehmen jedoch kontinuierlich vor mehr als sechs Milliarden bekannten, kompromittierten Passwörtern schützen. Der Dienst wird täglich anhand der Datensammlung aus den Angriffsüberwachungssystemen unseres Forschungsteams aktualisiert. Dazu gehören auch Passwörter, die in Datenlecks im Dark Web und anderen Quellen gefunden wurden.

„Breached Password Protection” durchsucht das Active Directory kontinuierlich nach kompromittierten Passwörtern und kann Endbenutzer mit anpassbaren Benachrichtigungen warnen. Dadurch können Teams Risiken reduzieren, ohne unnötige Service-Desk-Tickets zu erzeugen.

Wenn Sie erfahren möchten, wie Specops Ihre Identitätssicherheitsstrategie unterstützen kann, kontaktieren Sie uns noch heute oder vereinbaren Sie eine Demo, um unsere Lösungen in Aktion zu erleben.

Zuletzt aktualisiert am 16/07/2026

David Ketler

Written by

David Ketler

David Ketler ist ein Cybersicherheitsberater mit Sitz in Toronto, Kanada, und verfügt über mehr als 10 Jahre Erfahrung in der Softwareentwicklung und Cybersicherheit. Er schreibt über Passwort-Cracking, Aktivitäten im Darknet und Passwortmanagement.

Back to Blog

Related Articles


Kostenloses Active-Directory-Audit-Tool