KI-generierte Passwörter sind unsicher

Die Sicherheitsfirma Irregular hat untersucht, wie gut große Sprachmodelle (LLMs) bei der Erzeugung von Passwörtern sind — und kommt zu einem ernüchternden Ergebnis: Passwörter, die von Chatbots erstellt werden, haben deutlich weniger Zufall (Entropie) als kryptografisch erzeugte Passwörter und sind deshalb vergleichsweise leicht zu knacken.

Im Test erzeugten Systeme von mehreren Anbietern wiederkehrende Muster statt wirklich zufälliger Zeichenfolgen; geprüft wurden unter anderem Modelle von Anthropic (Claude), OpenAI (ChatGPT) und Google (Gemini).

Der Grund liegt in der Funktionsweise von LLMs: Sie sagen token- oder zeichenweise voraus, was statistisch plausibel ist, und erzeugen keine echte Zufälligkeit wie ein kryptografisch sicherer Zufallszahlengenerator. Dadurch entstehen Struktur- und Wiederholungsmuster, die Passwort-Stärke-Messungen oberflächlich bestehen, aber tatsächlich schwach sind. Angreifer könnten solche Passwörter per Brute-Force innerhalb von Stunden statt Jahrzehnten knacken.

Expertinnen und Experten raten deshalb klar: Passwörter sollten mit Passwort-Managern erstellt werden, die auf kryptografisch sichere Pseudo-Zufallszahlengeneratoren setzen — oder besser noch: auf Passkeys und Multi-Faktor-Authentifizierung umgestellt werden. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt dazu praxisnahe Hinweise, wie sichere Passwörter aussehen und wie sie verwaltet werden sollten.

Mehr Informationen zu sicheren Passwörtern (BSI)