KI-Tools versprechen Komfort – doch beim Thema Passwortsicherheit ist Vorsicht geboten.
Wie sicher sind Kennwörter wirklich, wenn sie von ChatGPT & Co. generiert werden?
Was auf den ersten Blick wie eine clevere Abkürzung wirkt, entpuppt sich bei näherer Betrachtung als ernstzunehmendes Sicherheitsrisiko. Sicherheitsforscher haben untersucht, wie zuverlässig große Sprachmodelle wie Claude Opus 4.6, GPT-5.2 oder Gemini 3 Flash bei der Erstellung von Passwörtern sind – mit ernüchterndem Ergebnis.
Das grundlegende Problem liegt im technischen Design solcher Modelle. Large Language Models sind darauf trainiert, wahrscheinliche und plausible Zeichenfolgen zu erzeugen. Genau das widerspricht jedoch dem Prinzip sicherer Passworterstellung. Kryptografisch belastbare Kennwörter benötigen echte Zufälligkeit – nicht statistische Wahrscheinlichkeit. LLMs greifen jedoch auf Trainingsdaten und Muster zurück. Sie simulieren Komplexität, erzeugen aber keinen echten Zufall.
In Tests zeigte sich: Zwar wirken KI-generierte Passwörter auf den ersten Blick robust – mit Sonderzeichen, Zahlen und Großbuchstaben. Doch bestimmte Zeichen tauchen häufig an denselben Positionen auf, typische Strukturen wiederholen sich. Während ein starkes Passwort eine Entropie von etwa 98 Bit erreicht, lagen die KI-Vorschläge bei lediglich rund 27 Bit. Das reduziert den notwendigen Rechenaufwand für einen erfolgreichen Brute-Force-Angriff dramatisch – von theoretisch Jahrzehnten auf wenige Stunden.
Besonders brisant: Die erkannten Muster finden sich bereits in Open-Source-Projekten auf GitHub wieder. Wer beim sogenannten „Vibe-Coding“ unreflektiert KI-Vorschläge übernimmt, öffnet unter Umständen ungewollt Tür und Tor für Angreifer.
Als praktikable Alternative empfehlen Experten etablierte Passwort-Manager, die auf kryptografisch sichere Pseudozufallszahlengeneratoren setzen. Allerdings zeigen aktuelle Untersuchungen der ETH Zürich und der Università della Svizzera italiana, dass auch hier Sicherheitslücken auftreten können. Die betroffenen Anbieter arbeiten nach eigenen Angaben bereits an entsprechenden Korrekturen.