Passwörter, die statt mit einem Passwort-Manager direkt mithilfe populärer KI-Anwendungen generiert werden, sind trotz ihrer Komplexität und Länge nur bedingt sicher. Die Tatsache, dass bei der Erstellung bestimmte Muster zur Anwendung kommen, macht sie berechenbar, so eine aktuelle Studie.
KI-generierte Kennwörter machen zwar einen soliden Eindruck, lassen sich jedoch häufig auf deutlich einfachere Weise entschlüsseln als Nutzende vermuten. Zu diesem Schluss kommen die Forscher der IT-Sicherheitsfirma Irregular in ihrer Studie «Vibe Password Generation: Predictable by Design». Ein Sicherheitsrisiko besteht nämlich prinzipiell immer dann, wenn ein Large Language Model (LLM) die Zeichenkette selbst kreiert, anstatt auf ein verlässliches Zufallssystem, wie z. B. einen Passwort-Manager, zurückzugreifen.
Den entscheidenden Grund dafür sehen die Forscher in der Funktionsweise von Large Language Model (LLM)-Anwendungen. Während Passwort-Manager auf kryptografische Zufallsgeneratoren setzen, die jedes Zeichen mit gleicher Wahrscheinlichkeit wählen, basieren Sprachmodelle auf der statistischen Vorhersage des jeweils nächsten Elements.
Regelmässige Strukturen machen Passwörter vorhersehbar
Tests mit populären Systemen offenbarten gemäss Irregular regelmässige Strukturen, wie etwa eine einseitige Zeichenverteilung, typische Wortanfänge oder gar Deckungsgleichheit bei mehrfachen Abfragen. So lieferte die KI-Anwendung Claude Opus 4.6 in einer Testreihe von 50 Anfragen lediglich 30 verschiedene Varianten, wobei ein einzelnes Passwort gleich 18-mal auftauchte und bestimmte Symbole fast gänzlich fehlten.
Die Experten sehen zudem eine Gefahr in der Programmierung, da Coding-Assistenten Passwörter teils autonom erstellen, ohne dabei integrierte Sicherheitswerkzeuge zu nutzen. Sie raten daher dringend davon ab, KI-generierte Codes zu nutzen; stattdessen sollten Entwicklungs-Tools auf sichere Methoden fixiert und KI-Anwendungen generell zur Nutzung bewährter Passwort-Manager verpflichtet werden.
Bei der Programmierung mithilfe von KI-Tools, dem sogenannten “Vibe Coding” stellt sich laut Irregular zudem ein allgemeines Sicherheitsproblem: Die Nutzenden übernehmen die auf Basis von Text-Prompts erstellte Software zusehends, ohne sich den Code anzusehen.
End-to-End-Security schützt auch vor KI-unterstützten Angriffen
Egal ob KI-generiert, selbst ausgedacht oder von einem Passwort-Manager erstellt – Passwörter sind notwendig, bieten aber keinen hundertprozentigen Schutz. Um den Schutz der eigenen Systeme zu verbessern, empfiehlt sich zudem der Einsatz einer erprobten End-to-End-Security-Lösung, wie Bitdefender. Zugriffe von Unbefugten auf IT-Systeme lassen sich damit effizient abwehren, indem Angriffe abgefangen werden, bevor sie überhaupt ihre Wirkung entfalten können. Dies, auch wenn Cyberkriminelle für ihre Machenschaften auf KI setzen.
