Für Firmen

Sichere Passwörter mit einem Schema erstellen? Keine gute Idee mehr. Hier erfahren Sie warum.

Passwortschemata mit festen Mustern sind heute gefährlich, weil KI-Modelle sie aus geleakten Kombolisten rasch rekonstruieren und auf neue Dienste übertragen können.

Andreas Gehret

Andreas Gehret

1 min read
Clay Bild Künstliche Intelligenz untersucht ein Passwort


Sichere Passwörter sollen lang sein, mehrere Zeichenarten enthalten und vor allem nicht wiederverwendet werden (Sehen Sie hier meinen Artikel "Sichere Passwörter erstellen"). Um die Frage "Wie soll ich mir diese Passwörter denn merken?" zu beantworten, war die Empfehlung bisher, sich einfach einen Satz zu überlegen, z.B. "IchbingroßerFanvon1860München!" (ist lang genug, enthält große und kleine Zeichen, Sonderzeichen und Zahlen und ich nehme an Fans rivalisierender Clubs finden gute Alternativen) und dann einfach z.B. die Anfangsbuchstaben des Dienstes, bei dem man das Passwort verwendet in irgendeiner Form hinzuzufügen - also ein leicht merkbares Muster zu verwenden.

Beispiel: Anmeldung bei Facebook: "FIchbingroßerFanvon1860München!K" oder Instagram: "IIchbingroßerFanvon1860München!M". Also einfach ein Schema nutzen, um sichere, nicht wiederverwendete und leicht merkbare Passwörter zu erstellen, tolle Idee!

Oder vielleicht nicht?

Auftritt allgemein verfügbare sogen. "Künstliche Intelligenz" mit tollen Sprach- und Logikmodellen:
Somit steht jedem, der das nutzen will eine tolle neue Technologie zur Verfügung um alle möglichen Dinge zu tun, z.B. auch Passwort-Schemata aufzulösen.

Ich habe einfach mal mit fiktiven Daten mehrerer Benutzer, die jeweils ein eigenes Passwortschema nutzen einen Versuch mit dem KI-Modell OpenAi o3 gestartet, um zu sehen, was passiert:

Screenshot ChatGPT o3 löst mehrere Passwortschemata auf

OpenAI o3 hat also nur anderthalb Minuten gebraucht, um die Passwortschemata der 3 Benutzer aufzulösen und daraus das Passwort für einen beliebigen anderen Dienst abzuleiten. Gruselig, oder?

Betreibt man als Angreifer ein eigenes KI-Sprachmodell, das für diese Aufgabe optimiert wurde und füttert dieses mit sogenannten "Combo-Listen", also Sammlungen von Daten vieler verschiedener Datenlecks, die teilweise hunderte Millionen Benutzerdaten enthalten, dann dürfte es relativ einfach sein, Benutzerpasswörter herauszufinden, die noch gar nicht von einem Datenleck betroffen waren.

Daraus folgt:

💡
Benutzen Sie kein Schema oder Muster für Passwörter auf verschiedenen Diensten! Jedes Passwort für jeden Dienst muss lang genug sein, aus verschiedenen Zeichenarten bestehen und darf nicht wiederverwendet werden!

Themen: Für Firmen Für Privatanwender Passworte/Kennworte

🔐 Zugang zu mehr Wissen?

Abonniere jetzt ZurSicherheit, um keinen Beitrag zu verpassen und aktuelle IT-Sicherheitstipps direkt zu erhalten.

Jetzt kostenlos abonnieren

Mehr lesen