Für die einen ist der 1. Mai der Tag der Arbeit, für fällt der Tag auf ein Datum, an dem an ein wichtiges Thema erinnert werden sollte: An jedem ersten Donnerstag im Mai begeht die Online-Gemeinschaft den Welt-Passwort-Tag. Der Tag wird zum Anlass genommen, um auf die Sicherheit von Passwörtern hinzuweisen. Und eben das möchte ich auch tun.
Und heute mal mit einem Denkanstoß von Kaspersky. Der russische Hersteller von Anti-Viren-Software warnt vor KI-generierten Passwörtern. Denn Kaspersky-Experten haben KI-Tools wie ChatGPT, Llama und DeepSeek überprüft und dabei festgestellt, dass diese keine echten Zufallspasswörter erzeugen, sondern Muster aus bestehenden Daten immer wieder imitieren. Das Ergebnis? Scheinbar zufällige Passwörter, die durch ihre vorhersehbaren Muster jedoch von Cyberkriminellen viel schneller geknackt werden können, als es auf den ersten Blick scheint.
In einem Test durch den Cybersicherheitsexperten Alexey Antonov, Data Science Team Lead bei Kaspersky, zeigte sich: 88 Prozent der von DeepSeek und 87 Prozent der von Llama generierten Passwörter waren nicht stark genug, um Angriffen durch hochentwickelte Cyberkriminelle standzuhalten. Auch bei ChatGPT war das Ergebnis wenig ermutigend – 33 Prozent der generierten Passwörter bestanden den Kaspersky-Test nicht und waren somit ebenfalls anfällig für Angriffe.
Eigentlich sollte es klar sein, wenn man über Training von KI ein wenig nachdenkt. Alexey Antonov, Data Science Team Lead bei Kaspersky, erklärt: „Künstliche Intelligenz kann vieles, aber eines nicht: wahre Zufälligkeit. Die generierten Passwörter folgen Mustern, die Angreifer recht leicht erkennen können – sie sind nicht annähernd so sicher, wie sie aussehen. Anstatt uns zu schützen, bieten durch KI generierte Passwörter nur eine trügerische Sicherheit.“
Die Analyse von 1.000 KI-generierten Passwörtern hat gezeigt, dass viele Modelle typische Muster verwenden: Zahlenersetzungen wie in „S@d0w12“ oder „P@ssw0rd!“, häufig wiederkehrende Zeichenfolgen wie „x“, „p“ und „l“ oder Substitutionen der Zahl „0“ durch den Buchstaben „o“. Solche Muster können durch Brute-Force-Angriffe leicht und schnell entschlüsselt werden und heben den erhofften Schutz solch vermeintlich sicherer und starker Passwörter problemlos auf.
Beispiele für typische Muster in KI-generierten Passwörtern:
DeepSeek: P@ssw0rd1, P@ssw0rdV, S@d0w12, M@n@go3, B@n@n@7
Llama: K5yB0a8dS8, S1mP1eL1on, P@ssw0rd1, P@ssw0rdV
ChatGPT: qLUx@^9Wp#YZ, LU#@^9WpYqxZ, YLU@x#Wp9q^Z
Auch die Sicherheitsexperten von Acronis erinnern an diesen Tag, um zu sensibilisieren. Wie wichtig dieser Tag ist, zeigen aktuelle Zahlen des Sicherheitsexperten Acronis: Nur 63 Prozent der Nutzer in Deutschland (weltweit 68 Prozent) setzen auf starke, einzigartige Passwörter für ihre Konten; etwa ein Drittel vernachlässigt somit das Thema. Der Rest verwendet oft dasselbe Passwort für mehrere Plattformen – ein erhebliches Risiko. Wird ein Passwort auf einer Seite gehackt, können Angreifer damit auch zu anderen Konten vordringen, die mit dem gleichen Passwort geschützt sind.
Zusätzlich nutzt nur die Hälfte der Nutzer (51 Prozent in Deutschland, 46 Prozent weltweit) die Zwei-Faktor-Authentifizierung (2FA), obwohl diese eine zusätzliche Sicherheitsebene bietet. Bei 2FA muss neben dem Passwort ein zweiter Bestätigungsschritt erfolgen, etwa ein Code aus einer App oder per SMS, was das Eindringen von Unbefugten erheblich erschwert.
Ein weiteres Problem: 25 Prozent der Nutzer (weltweit 30 Prozent) warten entweder, bis sie gezwungen werden, oder aktualisieren ihre Passwörter gar nicht. Wer Passwörter über längere Zeiträume hinweg unverändert lässt, erhöht das Risiko, dass sie im Falle eines Sicherheitsvorfalls wiederholt ausgenutzt werden. Hacker bedienen sich häufig gestohlener Passwörter aus Datenpannen, um sich Zugang zu weiteren Konten zu verschaffen.
Und wann haben Sie das letzte Mal Ihre Passwörter gewechselt?
redaktion42's Weblog 