KI-Chatbots spucken hübsche Passwörter aus – viele sind vorhersehbar und unsicher.
In Kürze
- Modelle liefern Muster, keinen echten Zufall
- Entropie oft nur ~27 Bit statt ~98 Bit
- Nutze geprüfte Passwort‑Manager
KI-Chatbots bauen hübsche Passwörter — aber sie sind oft unsicher
Sicherheitsforscher der Firma Irregular haben geprüft, wie gut KI‑Chatbots wie ChatGPT, Gemini oder Claude wirklich sichere Passwörter erzeugen. Kurz gesagt: Die Passwörter sehen auf den ersten Blick stark aus, enthalten aber vorhersehbare Muster — und lassen sich deutlich leichter knacken als echte Zufallskennwörter.
Warum das so ist
Große Sprachmodelle funktionieren, indem sie die wahrscheinlichsten Zeichenfolgen vorhersagen. Sie sind darauf trainiert, plausibel klingende Texte zu erzeugen, nicht darauf, echten Zufall zu liefern. Das zeigt sich bei Passwörtern darin, dass Zahlen und Sonderzeichen häufig an ähnlichen Positionen auftauchen oder bestimmte Anfangssequenzen immer wieder verwendet werden. Diese Regelmäßigkeiten reduzieren die Unvorhersehbarkeit der Zeichenfolge.
Was die Tests ergaben
Ein sicherer, kryptografischer Passwortstandard liegt bei etwa 98 Bit Entropie — ein Maß für die Schwierigkeit, das Passwort vorherzusagen. Die von den Chatbots erzeugten Passwörter erreichten in den Untersuchungen jedoch nur rund 27 Bit. Praktisch heißt das: Während ein 98‑Bit‑Passwort für Brute‑Force‑Angriffe rechnerisch Jahrzehnte oder länger schützen kann, lassen sich KI‑generierte Passwörter mit normalen Computern oft innerhalb von Stunden knacken.
Welche Systeme überprüft wurden
Untersucht wurden unter anderem:
- Anthropic Claude Opus 4.6
- OpenAIs GPT‑5.2
- Googles Gemini 3 Flash
Bei allen Modellen fanden die Forscher erkennbare, wiederkehrende Strukturen — gleiche Anfänge, begrenzte Variation bei der Zeichenauswahl, typische Positionen für Sonderzeichen.
Muster auch im Open‑Source‑Bereich
Die Analyse entdeckte ähnliche Muster in Passwort‑Generatoren oder Beispielen, die in Open‑Source‑Projekten auf GitHub auftauchen. Die Forscher sprechen dabei von „Vibe‑Coding“ — also einer Art Mustercodierung, die Angreifern als praktischer Ansatzpunkt dienen kann.
Was du stattdessen nutzen solltest
Die Empfehlung der Forscher:
- Verlass dich nicht auf von KI‑Chatbots erzeugte Passwörter für echte Konten.
- Nutze Passwort‑Manager, die kryptografisch sichere Pseudozufallszahlengeneratoren verwenden — diese sind explizit dafür ausgelegt, schwer vorhersagbare Zeichenfolgen zu erzeugen.
- Einige Anbieter reagieren bereits: Google Gemini gibt inzwischen Warnhinweise aus, wenn Nutzer KI‑erstellte Passwörter für echte Konten verwenden.
Hinweis zu Passwort‑Managern
Gleichzeitig fanden Forscher der ETH Zürich und der Università della Svizzera italiana bei einigen beliebten Passwort‑Managern Sicherheitsprobleme. Die betroffenen Hersteller geben an, an Behebungen zu arbeiten. Zu den genannten Programmen gehören:
- KeePassXC
- LastPass
- 1Password
- Bitwarden
- Dashlane
Kurz und praktisch: KI kann optisch starke Passwörter ausspucken, aber wegen vorhersehbarer Muster sind diese oft nicht wirklich sicher. Setze auf geprüfte Passwort‑Manager mit sicheren Zufallszahlengeneratoren und achte auf Updates deiner Tools.
Quellen
- Quelle: ChatGPT / OpenAI / Google / Anthropic / Irregular
- Der ursprüngliche Artikel wurde hier veröffentlicht
- Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.
