Zurück zur Übersicht

Warum man keine Passwörter mit ChatGPT erstellen sollte

Ja, ChatGPT und andere KI kann vieles. Aber eben nicht alles wirklich gleichermaßen gut. Passwörter z. B. sollten Sie auf alle Fälle nicht mithilfe Künstlicher Intelligenz erstellen. Wir zeigen im Selbstversuch, warum das so ist und welche Alternativen die bessere Wahl sind, um ein sicheres Passwort zu erstellen.

  Von Nicole – Lesedauer: 3 Min.

 

In diesem Blog-Artikel ...


ChatGPT und andere LLMs (Large Language Modelle – auf Deutsch: große Sprachemodelle) sind prima Helfer, um uns im Alltag zu unterstützen. Z. B., um die perfekte E-Mail zu formulieren. Bei Passwörtern allerdings wird davon abgeraten, die KI zu nutzen. Doch warum ist das so?

Ich will es genau wissen und gehe der Frage nach:

Was passiert eigentlich, wenn man ChatGPT um ein Passwort bittet?

T7#kL9!pQ2@x

Diesen Code generiert mir ChatGPT auf meine Bitte hin, ein 12stelliges Passwort zu erstellen, das auch Zahlen und Sonderzeichen beinhaltet.

Auf den ersten Blick sieht dieser kryptische Zahlen-Buchstaben-Sonderzeichensalat sicher aus – es scheint, als ob die aktuellen Kriterien eines sicheren Passworts erfüllt sind. Denn sogar der Wechsel zwischen Großbuchstaben und kleinen Buchstaben ist gegeben.

Ein offenes Vorhängeschloss steht auf einem geöffneten Laptop.
Passwort mit KI erstellen – ist das sicher?
Doch nimmt man das Angebot von ChatGPT an und lässt sich mehrere Varianten erstellen, passiert Folgendes:


u8#Gm2!Xr9@Lp
A9#tK3!mP7@xL
Z4!qR8#vN2@bT
M7@cL5!Xk9#Wp
P2#dS8@hT4!yQ
F6!nB3@Kz9#Lm
 R8@xV2#pQ5!cH

Vergleicht man die einzelnen Passwörter, sieht man, dass sie vom Aufbau her ähnlich sind:
Auf einen Großbuchstaben folgt immer eine Zahl, ein Sonderzeichen, ein kleiner Buchstabe, ein Großbuchstabe, eine Zahl, … und immer so weiter. Immer nach demselben Schema.

Ich bitte ChatGPT erneut um ein ganz neues Passwort, das aber auf den eben genannten Kriterien ("mit Zahlen und Sonderzeichen") erstellt wird. Heraus kommt:

u8#Gm2!Xr9@Lp

Es ist wieder dasselbe Schema. Kann es sein, dass ChatGPT bei der Generierung immer einer gewissen vorhersehbaren Regelmäßigkeit folgt?

Tatsächlich gibt es dazu eine Studie, die genau das belegt.

Studie belegt: KI kann keine sicheren Passwörter

Eine aktuelle Studie des Unternehmens Irregular zeigt auf, dass Künstliche Intelligenzen wie ChatGPT, Gemini oder Claude tatsächlich keine sicheren Passwörter im Sinne von "unvorhersehbar" erzeugen.

Denn die LLMs funktionieren genau andersherum – sie sagen das wahrscheinlichste nächste Zeichen voraus. Und sie nutzen sich wiederholende Schemata bei der Passwort-Generierung.

Die Passwörter
 

  • sind ähnlich aufgebaut
  • nutzen bestimmte Zeichen häufiger
  • werden nach wiederkehrenden Mustern generiert

Sie sehen also möglicherweise stark aus, basieren aber nicht auf echten Zufallswerten. Sie weisen daher auch nur ein geringes Maß an sogenannten Entropie-Bits auf.
 

Was sind Entropie-Bits?
Entropie-Bits sind das Maß für die Unvorhersehbarkeit bzw. die Zufälligkeit von Daten oder Passwörtern. An ihnen lässt sich grob abschätzen an, wie viele Versuche bei einem Brute-Force-Angriff erfolgen müssten, um das Passwort zu knacken.

Bei einem Passwort mit 100 Bit Entropie wären dies etwa 2¹⁰⁰ Versuche, was Billionen von Jahren dauern würde. Im Vergleich dazu haben die mit ChatGPT und Co. erzeugten Passwörter meist nur 30 Bit Entropie, was schwach und mittels Brute-Force-Attacke in Sekundenschnelle erraten wäre.

Ein weiteres Sicherheits-Problem, wenn Sie die KI als Passwort-Generator nutzen:

Die KIs erzeugen mehrfach sogar identische Passwörter. Dadurch sinkt insgesamt die Sicherheit, denn Vielfalt und Unvorhersehbarkeit sind entscheidend für starke Passwörter. Wenn diese beiden Faktoren fehlen, wird der Suchraum für Angreifer kleiner: Sie müssen weniger Varianten testen, um erfolgreich zu sein.

Fakt ist also:

Insgesamt betrachtet bieten ChatGPT und Co. aktuell keine sicheren Passwörter an, die 1:1 übernommen werden können. Lassen Sie sich also nicht von scheinbar sicheren Passwörtern blenden, bloß, weil diese kryptisch und "kompliziert" aussehen.

Methoden für sichere Passwörter

Zugegeben: Heutzutage braucht man viele verschiedene Passwörter – angefangen bei E-Mail bis hin zu all den anderen verschiedenen Online-Diensten. Und das ist nicht immer leicht, mal eben schnell ein sicheres Passwort aus dem Ärmel zu schütteln. Oder doch?

Mit der Satzmethode oder der Akronymmethode schaffen Sie einzigartige sichere Passwörter, die bei Bedarf auch kurz sein können. Und: Die Sie sich tatsächlich auch gut merken können!

Eine weitere Lösung können Passwort-Manager sein: Sie funktionieren zwar maschinell, im Gegensatz zu Gemini, ChatGPT und Co. nutzen sie aber kryptografisch sichere Pseudozufallszahlengeneratoren.

Lesetipp: Kennen Sie schon unsere Blog-Reihe zu KI? Hier finden Sie Blog-Artikel zu Chancen und Risiken der Künstlichen Intelligenz.
 

Wenn Sie den Artikel hilfreich fanden, teilen Sie ihn gerne auch per E-Mail.

Themen

Passwort Sicherheit KI

1 Person findet diesen Artikel hilfreich.

Ähnliche Artikel

So erstellen Sie ein sicheres Passwort

Tipps und wichtige Hinweise

Mobile Logins zurücksetzen: So loggen Sie sich im Notfall aus Ihrem WEB.DE Postfach aus

Schützen Sie Ihr Postfach!

Vorsicht vor E-Mail-Spoofing

Echt oder nicht echt?