Vertrau KI bei diesem wichtigen Sicherheitsaspekt nicht

Lass mich mit einer Frage anfangen: Wenn du ein starkes Passwort brauchst, würdest du KI bitten, eins für dich zu erstellen?

Das klingt eigentlich ganz vernünftig.

Tools wie ChatGPT und Copilot können Berichte schreiben, E-Mails entwerfen und sogar kleine Codeabschnitte erstellen. Sie um ein 16-stelliges Passwort voller Symbole und Zahlen zu bitten, wirkt wie eine clevere Abkürzung.

Aber vielleicht solltest du das nochmal überdenken.

Forscher haben kürzlich KI-Tools getestet, indem sie sie gebeten haben, sichere Passwörter zu erstellen.

Oberflächlich betrachtet sahen die Ergebnisse großartig aus. Lange Zeichenfolgen aus Groß- und Kleinbuchstaben, Zahlen und Symbolen.

Bei der Überprüfung mit Online-Tools zur Passwortstärke schnitten sie hervorragend ab. Manche Tools behaupteten sogar, dass es Jahrhunderte dauern würde, sie zu knacken.

Doch als diese Passwörter richtig analysiert wurden, zeigte sich ein anderes Bild.

KI-Systeme basieren auf sogenannten Large Language Models oder LLMs. Das bedeutet, sie sind darauf trainiert vorherzusagen, welcher Text als Nächstes kommen sollte. Sie sind brillant darin, Texte zu erzeugen, die natürlich und plausibel wirken.

Wofür sie nicht entwickelt wurden, ist echte Zufälligkeit zu erzeugen.

Und starke Passwörter basieren auf Zufälligkeit.

Als Forscher Dutzende KI-generierte Passwörter untersuchten, fanden sie wiederkehrende Muster. Einige Passwörter waren doppelt. Viele folgten sehr ähnlichen Strukturen.

Interessanterweise enthielt keines davon wiederholte Zeichen.

Das klingt vielleicht nach etwas Gutem, aber echte Zufälligkeit beinhaltet oft Wiederholungen. Dass sie fehlen, deutet darauf hin, dass das Passwort erlernten Regeln folgt, anstatt unvorhersehbar generiert zu werden.

Die Forscher maßen etwas, das „Entropie“ genannt wird, ein technischer Begriff dafür, wie unvorhersehbar etwas ist.

KI-generierte Passwörter schnitten deutlich schlechter ab, als ein wirklich zufälliges 16-stelliges Passwort abschneiden sollte.

Das bedeutet, sie könnten mit einer Brute-Force-Attacke viel leichter geknackt werden, bei der Angreifer in sehr kurzer Zeit riesige Mengen an Kombinationen ausprobieren.

Online-Passwortprüfer erkennen das nicht, weil sie nur auf sichtbare Komplexität achten.

Sie sehen Symbole und Zahlen und gehen davon aus, dass das Passwort sicher ist. Die versteckten Muster, die durch KI entstehen, berücksichtigen sie nicht.

Sogar neuere Modelle wie Gemini 3 Pro haben Warnungen ausgegeben, wenn sie gebeten wurden Passwörter zu erstellen, und Menschen geraten, sich bei sensiblen Konten nicht auf im Chat erzeugte Zugangsdaten zu verlassen.

Das sollte dir zu denken geben.

Wenn du wirklich sichere Passwörter möchtest, nutze einen Passwortmanager mit integriertem Passwortgenerator.

Diese verwenden kryptografische Zufälligkeit, also mathematische Verfahren, die speziell dafür entwickelt wurden, unvorhersehbare Ergebnisse zu erzeugen.

KI ist ein hervorragendes Werkzeug zur Produktivitätssteigerung. Aber wenn es um grundlegende Sicherheitsaspekte wie Passwörter geht, ist sie das falsche Werkzeug.

Wenn du Hilfe dabei möchtest, den richtigen Passwortmanager für dein Unternehmen auszuwählen, melde dich gern.