Vorsicht: 2023 knackt eine neue KI die meisten Passwörter in Sekunden. So bleibt ihr sicher
Die zehn beliebtesten Passwörter der Deutschen in 2022 waren laut einer Studie des Hasso-Plattner-Instituts der Universität Potsdam "123456", "123456789", "1Qaz2wsx3edc", "12345", "qwertz", "fic*en", "12345678", "passwort" sowie "Ebels123". Mit einer Ausnahme sind das allesamt Passwörter, die gegen einen KI-gestützten Angriff in 2023 kaum noch einen Schutz bieten würden. Selbst das vermeintlich sichere "1Qaz2wsx3edc" entpuppt sich eigentlich als recht leicht zu erkennendes Pattern auf eine Tastatur mit US-Keyboard.
Künstliche Intelligenz ist nicht nur bei ChatGPT und Bard in aller Munde, auch Passwortcracker können dank Machine Learning smarter werden, wie die Sicherheitsexperten von Home Security Heroes herausgefunden haben. Eine Software namens PassGan - praktisch ein Passwortcracker mit KI-Unterstützung - konnte 51 Prozent der üblichen Passwörter in weniger als einer Minute, 65 Prozent innerhalb einer Stunde und immer noch 71 Prozent in weniger als 24 Stunden knacken. Auch der Rest ist vor PassGan nicht sicher - bei 81 Prozent war das Passwort in einem Monat gehackt. Ein 7-Zeichen-Passwort, egal wie komplex, sei mit PassGan innerhalb von sechs Minuten aufgebrochen, so die Sicherheitsexperten.
Passwörter müssen 2023 nicht nur komplex sondern auch lange sein
Die Tabelle oben zeigt, wo es üblicherweise hapert. Kurze Passwörter - egal ob komplex oder nicht - sind gegen KI-Tools praktisch kein Schutz mehr. Lange Passwörter, die nur auf Zahlen, nur auf Großbuchstaben oder nur auf Kleinbuchstaben setzen ebenso nicht. Aus aktueller Sicht (2023) müssen Passwörter also zumindest eine Kombination aus Klein- und Großbuchstaben sowie idealerweise Zahlen und Symbole sein und mehr als 12 Zeichen haben, um als "KI-sicher" durchzugehen.
Die Experten betonen zudem, dass dieses neuronale Netz bis dato nur mit 15 Millionen Datensätzen aus dem Jahr 2009 trainiert wurde. Mit aktuelleren Daten könnte sich die Geschwindigkeit noch mal erhöhen, weswegen gleich komplexe Passwörter mit mindestens 15 Zeichen empfohlen werden. Auch einfach zu erkennende Muster wie oben angesprochen, sollten vermieden werden, naturgemäß auch das mehrfache Recyclen eines Passworts bei mehreren Accounts.
Ideal sei zudem ein regelmäßiger Wechsel, wobei dieser Tipp bei Experten mittlerweile umstritten ist. Ohne einen "sicheren" Passwortmanager geht es also 2023 nicht, zumindest nicht bis Passwörter durch sogenannte Passkeys abgelöst werden, die Apple, Google und Microsoft bereits in Stellung bringen.