Die KI Sicherheitsfirma Irregular hat einen Bericht veröffentlicht, der sich mit der Sicherheit von KI generierten Passwörtern befasst
Das Ergebnis in Kurzform ist, dass ein Large Language Model (LLM) das wiedergibt, was es stochastisch als am wahrscheinlichsten ansieht. Beim Erzeugen von einmaligen, zufälligen und sicheren Passwörtern führt dies zu Problemen.
Passwörter, die von LLMs erzeugt wurden – also nicht durch einen Tool-Aufruf (ein externes Werkzeug, wie einen „klassischen“ Passwortgenerator) – sehen zwar erst mal sicher aus, sind es bei einer Stichprobe mit 50 generierten Passwörtern und Anthropics Claude Opus 4.6 aber nicht. Eigentlich sind es nur 30 einmalige Zeichenketten und die Unterschiede zwischen ihnen sind teils sehr gering. So beginnt ein Großteil der Stichprobe mit K7#mP9 (auch als ich das einfach mal selber ausprobiert hab…)
Aber wer nutzt denn KI für seine Passwörter?
Ich bin mir sicher, viele von euch benutzen (bitte bitte bitte) einen Passwortmanager, egal ob als SaaS oder auf dem eigenen PC. Diese bringen alle einen Passwortgenerator mit, vollständig integriert, einfach zu erreichen und zumeist wirklich zufällig.
Aber KIs fragen KIs nach Passwörtern. Viele Passwörter, die in das Muster der KI-Generierten Strings passen, sind beispielsweise auf GitHub in öffentlichen Repositories zu finden. Dort schnell nach "K7#mP9" OR " gesucht liefert 37 Code-Ergebnisse – beides beliebte Teile von Passwörtern aus Anthropics Claude Opus und Sonnet und Googles Gemini.k9#vL"
(Darunter auch ein Twitch-Login, der bis auf den E-Mail 2FA scheinbar auch funktioniert 🤦)
Also was sagt uns das jetzt…
Passwörter sollten niemals von algorithmisch gesteuerten Tools erzeugt werden, das macht sie, im wahrsten Sinne des Wortes, berechenbar – und genau das wollen wir ja nicht…
Wenn ihr selbst Passwörter benötigt, nutzt euren Passwortmanager (den ihr ja sicher alle habt) oder nutzt, wenn es sein muss, die Webseiten von vertrauenswürdigen Passwortgeneratoren. Als Beispiele lasse ich euch mal unverbindlich ein paar da – in keiner Reihenfolge und ohne Sponsoring
- https://1password.com/password-generator
- https://bitwarden.com/password-generator/
- https://proton.me/pass/password-generator
Wenn ihr im Coding-Umfeld mit KI arbeitet und dort Passwörter braucht, lasst sie entweder durch Tool-Calls gegen richtige Passwortgeneratoren erzeugen oder gebt sie selbst über Konfigurationsvariablen in das fertige Produkt hinein.
Am Schluss läuft es immer auf das gleiche hinaus – passt auf und macht keinen Quatsch.