Die Verwendung künstlicher Intelligenz (KI) zur Generierung Ihrer Passwörter ist eine schlechte Idee. Es ist wahrscheinlich, dass dieses Passwort an einen Kriminellen weitergegeben wird, der es dann für einen Wörterbuchangriff verwenden kann – dabei durchläuft ein Angreifer mit automatisierten Tools eine vorbereitete Liste wahrscheinlicher Passwörter (Wörter, Phrasen, Muster), bis eines davon funktioniert, anstatt jede mögliche Kombination auszuprobieren.
Das KI-Cybersicherheitsunternehmen Irregular hat ChatGPT, Claude und Gemini getestet und festgestellt, dass die von ihnen generierten Passwörter „sehr vorhersehbar“ und nicht wirklich zufällig sind. Beim Test von Claude wurden aus 50 Eingaben nur 23 einzigartige Passwörter generiert. Eine Zeichenfolge tauchte zehnmal auf, während viele andere dieselbe Struktur aufwiesen.
Das könnte sich als Problem erweisen.
Traditionell erstellen oder laden Angreifer Wortlisten mit gängigen Passwörtern, aus der Praxis stammenden Lecks und musterhaften Varianten (Wörter plus Zahlen und Symbole) herunter, um sie für Wörterbuchangriffe zu verwenden. Es erfordert fast keinen Aufwand, etwa tausend Passwörter hinzuzufügen, die üblicherweise von KI-Chatbots bereitgestellt werden.
KI-Chatbots sind darauf trainiert, Antworten auf der Grundlage dessen zu geben, was sie gelernt haben. Sie sind gut darin, auf der Grundlage dessen, was sie bereits wissen, vorherzusagen, was als Nächstes kommt, aber nicht darin, etwas völlig Neues zu erfinden.
Wie die Forscher es ausdrücken:
„LLMs funktionieren, indem sie das wahrscheinlichste nächste Token vorhersagen, was genau das Gegenteil von dem ist, was für die sichere Passwortgenerierung erforderlich ist: einheitliche, unvorhersehbare Zufälligkeit.“
In der Vergangenheit haben wir erklärt, warum Computer von vornherein nicht besonders gut mit Zufälligkeit umgehen können. Passwortmanager umgehen dieses Problem, indem sie spezielle kryptografische Zufallszahlengeneratoren verwenden, die reale Entropie einbeziehen, anstatt die musterbasierte Textgenerierung, die man bei LLMs sieht.
Mit anderen Worten: Ein guter Passwort-Manager „erfindet“ Ihr Passwort nicht wie eine KI. Er fordert vom Betriebssystem kryptografische Zufallsbits an und wandelt diese direkt in Zeichen um, sodass Angreifer kein verstecktes Muster erkennen können.
Eine Website oder Plattform, auf der Sie solche Passwörter eingeben, mag Ihnen zwar mitteilen, dass diese sicher sind, aber es gilt dieselbe Grundüberlegung, warum Sie Passwörter nicht wiederverwenden sollten. Was nützt ein sicheres Passwort, wenn Cyberkriminelle es bereits haben?
Wie immer bevorzugen wir Passkeys gegenüber Passwörtern, aber wir sind uns bewusst, dass dies nicht immer möglich ist. Wenn Sie ein Passwort verwenden müssen, lassen Sie es nicht von einer KI erstellen. Das ist einfach nicht sicher. Und wenn Sie dies bereits getan haben, sollten Sie es ändern und eine Multi-Faktor-Authentifizierung (2FA) hinzufügen, um das Konto sicherer zu machen.
Wir berichten nicht nur über den Datenschutz - wir bieten Ihnen auch die Möglichkeit, ihn zu nutzen.
Risiken für Privacy sollten nie über eine Schlagzeile hinausgehen. Schützen Sie Ihre Online-Privatsphäre mit Malwarebytes Privacy VPN.
