Im Internet verbreitet sich gerade ein Trend, der auf den ersten Blick vernünftig erscheint, aber KI kennt keine Zufälle.
Künstliche Intelligenz hat den Alltag einiger Menschen in den letzten Jahren fundamental verändert. Von der Texterstellung über die Übersetzung von Dokumenten bis hin zur Analyse komplexer Datensätze ist das Tool aus dem modernen Berufsleben leider kaum noch wegzudenken. Viele Nutzer haben sich jedoch etwas angewöhnt, was auf den ersten Blick praktisch und logisch erscheint, im Hintergrund jedoch erhebliche Sicherheitsrisiken birgt. Es geht um die Generierung von Passwörtern mithilfe von KI-Modellen wie ChatGPT. Während die Vorstellung, eine künstliche Intelligenz um ein sicheres Passwort zu bitten, verlockend ist, zeigen Experten und Studien, dass diese Methode keineswegs die gewünschte Sicherheit bietet. Der scheinbare Zufall, den diese Systeme produzieren, ist trügerisch und für Angreifer oft leicht zu entschlüsseln.
Das Kernproblem liegt in der Funktionsweise von Sprachmodellen. Diese Systeme sind darauf trainiert, Muster in großen Datenmengen zu erkennen und basierend auf diesen Mustern das wahrscheinlichste nächste Wort oder Zeichen vorherzusagen. Diese Fähigkeit zur Mustererkennung ist es, die sie für Schreibarbeiten oder Zusammenfassungen so nützlich macht. Bei der Erstellung von Passwörtern jedoch ist genau diese Eigenschaft ihr größter Schwachpunkt. Ein wirklich sicheres Passwort muss absolut zufällig sein und keinerlei statistische Beziehung zu vorhergehenden Zeichen oder Mustern aufweisen. KI-Modelle können jedoch keine echte Zufälligkeit erzeugen. Sie produzieren lediglich das Aussehen von Chaos, während auf statistischer Ebene feste Muster und wiederkehrende Tendenzen entstehen. Diese versteckten Muster betreffen die Platzierung von Zeichen, die bevorzugte Länge oder das Verhältnis von Sonderzeichen zu Buchstaben.
Moderne Tools zum Knacken von Passwörtern sind speziell darauf ausgelegt, diese Art von Regelmäßigkeiten auszunutzen. Eine Studie, die tausende von KI-generierten Passwörtern verschiedener führender Modelle testete, kam zu folgenden Ergebnissen. Bei Modellen wie DeepSeek und Llama konnten fast neunzig Prozent der generierten Passwörter schnell erkannt werden. Selbst bei ChatGPT, das besser abschnitt, ließen sich fast ein Drittel der Passwörter innerhalb einer Stunde knacken. Das liegt daran, dass die Ausgabe zwar chaotisch wirkt, aber auf einer tieferen Ebene vorhersehbar bleibt. Ein weiterer kritischer Aspekt ist die fehlende Einzigartigkeit. Wenn zwei verschiedene Personen unabhängig voneinander dieselbe KI um ein starkes Passwort bitten, werden die Ergebnisse zwar nicht identisch sein, sie werden jedoch oft strukturelle Ähnlichkeiten aufweisen. Die Menge an wirklich eindeutigen Ausgaben ist kleiner als angenommen. Skaliert man dies auf Millionen von Nutzern, die denselben Dienst nutzen, verliert die vermeintliche Einzigartigkeit der Passwörter schnell an Wert.
Ein oft übersehener Risikoaspekt betrifft die Daten, die man der KI selbst übergibt. Auf den kostenlosen, für Verbraucher bestimmten Ebenen vieler KI-Plattformen werden Eingabeaufforderungen häufig als Trainingsdaten für zukünftige Modellversionen verwendet. Dies ist in den Nutzungsbedingungen verankert, die nur wenige Leser genau studieren. Das bedeutet, dass der Kontext Ihres Gesprächs, einschließlich der Frage, für welchen Dienst das Passwort benötigt wird, möglicherweise nicht privat bleibt. Sobald ein Passwort, auch ein frisch generiertes, in eine KI-Konversation eingeht, wird es Bestandteil der Trainingsdaten. Es ist keine direkte Datenpanne, aber es ist ein Sicherheitsereignis, das die meisten Nutzer nicht so wahrnehmen. Zudem bleiben Chat-Protokolle oft dauerhaft gespeichert, was bedeutet, dass alle dort generierten Passwörter für jeden zugänglich sind, der Zugriff auf Ihr Konto erhält.
Die Lösung für dieses Problem ist keineswegs kompliziert und bereits seit vielen Jahren verfügbar. Für die Erstellung und Verwaltung von Zugangsdaten sollten ausschließlich Tools verwendet werden, die speziell für diesen Zweck entwickelt wurden. Passwort-Manager nutzen kryptographisch sichere Zufallsgeneratoren, die Ausgaben erzeugen, die keinerlei statistische Beziehung zueinander haben und für Angreifer nicht analysierbar sind. Die Sicherheit hängt nicht nur von der Generierung ab, sondern auch von der sicheren Speicherung. Die übliche Ausrede für die Nutzung von KI ist Bequemlichkeit, da die Tools leicht zugänglich und bekannt sind. Doch Bequemlichkeit und Sicherheit ließen sich noch nie unter einen Hut bringen. Künstliche Intelligenz ist ein fähiges Werkzeug für manche Aufgaben, aber nicht für die Erzeugung von Passwörtern, die wirklich musterlos sein müssen. Die meisten Sicherheitsprobleme entstehen nicht durch ausgeklügelte Angriffe, sondern durch kleine, alltägliche Gewohnheiten. Das richtige Werkzeug für den richtigen Job zu kennen, ist der erste Schritt zu einer guten Sicherheitskultur.