KI-Passwörter: Ein gefährliches Sicherheitsrisiko für Nutzer
Immer mehr Menschen lassen sich von Künstlicher Intelligenz vermeintlich sichere Passwörter generieren. Doch genau dafür sind die Sprachmodelle, auf denen Chatbots wie ChatGPT basieren, nicht konstruiert worden. Bei Sicherheitsfragen gelten grundlegend andere Regeln als bei der Erstellung von Texten oder Inhalten.
Vorhersehbare Muster statt echter Zufälligkeit
Was auf den ersten Blick wie eine zufällige Zeichenfolge erscheint, folgt bei KI-Systemen häufig einem erkennbaren Muster. Eine aktuelle Untersuchung des Sicherheitsunternehmens Irregular zeigt deutlich: Von großen Sprachmodellen (LLM) erzeugte Passwörter enthalten wiederkehrende Strukturen und ähnliche Zeichenabfolgen.
Der Grund für dieses Problem liegt im grundlegenden Funktionsprinzip der KI-Modelle. LLMs berechnen stets das statistisch wahrscheinlichste nächste Zeichen in einer Abfolge. Für ein wirklich sicheres Passwort ist jedoch genau das Gegenteil erforderlich: echte, gleichmäßig verteilte Zufälligkeit ohne erkennbare Muster.
Die Gefahr geringer Entropie
Laut Sicherheitsexperten entdeckten Forscher bei Tests mit populären KI-Systemen wie ChatGPT, Claude und Gemini nicht nur ähnliche Zeichenfolgen, sondern teilweise sogar identische Ergebnisse bei wiederholten Abfragen. Entscheidend für die Sicherheit ist die sogenannte Entropie – das Maß für die Unvorhersehbarkeit eines Passworts.
Je höher die Entropie ist, desto schwerer lässt sich ein Passwort erraten oder durch automatisierte Angriffe knacken. KI-generierte Passwörter weisen jedoch häufig eine deutlich geringere Entropie auf als kryptografisch erzeugte Alternativen.
Kryptografische Sicherheit versus statistische KI-Modelle
Als sicher gelten Passwörter, wenn sie durch kryptografische Verfahren erzeugt wurden. Dies bedeutet konkret: Sie entstehen mithilfe mathematischer Algorithmen, die speziell für Sicherheitszwecke entwickelt wurden und als praktisch nicht berechenbar gelten. KI-Modelle arbeiten hingegen rein statistisch – sie folgen nicht den erforderlichen Sicherheitsstandards für Passwortgenerierung.
Je vorhersehbarer die Struktur eines Passworts ist, desto schneller kann ein Angreifer es durch sogenannte Brute-Force-Attacken knacken. Bei diesen automatisierten Angriffen probiert ein Computer systematisch Millionen von Kombinationen aus. Geringe Entropie verkürzt die dafür benötigte Zeit drastisch und macht Accounts verwundbar.
Sichere Alternativen für den Alltag
Computer können von sich aus keinen echten Zufall erzeugen, da sie deterministisch nach festen Regeln arbeiten. Moderne Betriebssysteme verwenden daher spezielle kryptografisch sichere Zufallszahlengeneratoren.
Diese Generatoren werden regelmäßig mit Entropie aus schwer vorhersagbaren physikalischen Prozessen gespeist – etwa aus Mausbewegungen, Tastatureingaben oder speziellen Hardware-Quellen. Aus diesen Eingangsdaten erzeugen sie Werte, die praktisch nicht vorhersagbar sind, obwohl sie algorithmisch berechnet werden.
Für den praktischen Alltagsgebrauch genügt in der Regel ein zuverlässiger Passwortmanager. Ein guter Passwortmanager erstellt nicht nur sichere, kryptografisch zufällige Passwörter, sondern speichert diese auch verschlüsselt ab und verwaltet sie bequem für den Nutzer.
Die Schlussfolgerung der Sicherheitsexperten ist eindeutig: Künstliche Intelligenz mag in vielen Bereichen beeindruckende Ergebnisse liefern – für die Erstellung wirklich sicherer Passwörter ist sie jedoch nicht konzipiert und stellt ein vermeidbares Sicherheitsrisiko dar.
