Der zunehmende Einsatz KI-gestützter Software stellt in vielerlei Hinsicht vor neue Herausforderungen. Anstatt in Panik zu verfallen und mögliche Dystopien heraufzubeschwören, erscheint es sinnvoller, sich neuen Gegebenheiten anzupassen. Eine solche Anpassung dürfte unter anderem auch beim Schutz von Passwörtern notwendig sein: Einer aktuellen Untersuchung zufolge können speziell trainierte künstliche Intelligenzen nämlich die meisten Passwörter innerhalb einer Minute knacken.

Sicherheitsexperten des IT-Unternehmens Home Security Heroes haben vor kurzem eine Untersuchung veröffentlicht, wie sich Passwörter mithilfe des KI-gestützten Tools PassGAN knacken lassen. Obwohl zum Trainieren der KI "nur" 15 Millionen Passwörter verwendet worden sind, legen die Ergebnisse nahe, dass die Methode effizienter arbeiten dürfte als bisher genutzte Software.

Die Forschungsergebnisse zeigen, dass 51 Prozent der gängigen Passwörter innerhalb von einer Minute, 65 Prozent innerhalb einer Stunde, 71 Prozent innerhalb eines Tages und 81 Prozent innerhalb eines Monats geknackt werden können.

Die Ergebnisse wurden auch in einer Tabelle zusammengefasst: Daraus ist auch ersichtlich, dass fast alle Passwörter mit sechs oder weniger Zeichen unter Verwendung dieser Methode sofort geknackt werden können.

Der nächste logische Schritt

Software zum Knacken von Passwörtern ist an sich kein Novum. Solche Tools führen vereinfacht formuliert meist Passwortanalysen mittels Tabellen durch, die zuvor mit gängigen Passwörtern und Wörterbüchern gespeist werden. Diese Suchstrategie ist nur bei vergleichsweise einfachen Passwörtern effizient. Hinter PassGAN steckt aber ein neuronales Netzwerk, das nach dem Trainieren mit Datensätzen (Passwörtern) in der Lage ist, neue Beispielpasswörter zu erstellen und bei der Suche einfließen zu lassen.

Im Fall von PassGAN wurde das neuronale Netzwerk mit 15 Millionen Passwörtern aus dem "berühmten" Rockyou-Datensatz trainiert. Die Daten stammen von einer der größten Cyberattacken weltweit, als die Datenbank des gleichnamigen Unternehmens im Jahr 2009 gehackt worden war. Darin waren 32 Millionen Nutzerkonten abgespeichert – samt zugehöriger Passwörter in Klartext. Die Sicherheitsexperten von Home Security Heroes betonen, dass PassGAN Passwörter mit mehr und aktuelleren Daten noch schneller knacken dürfte.

Wenn schon Passwort, dann komplex und lang

Auf eine sichere Passwortgestaltung wurde in der Vergangenheit schon oft aufmerksam gemacht, herumgesprochen haben dürfte sich das aber noch nicht überall. Das zeigt sich immer wieder: Erst neulich stellte eine Sicherheitsüberprüfung sogar Mitarbeiter des US-Innenministeriums bloß.

Sofern man also keinen Passwort-Manager nutzt, genutzte Systeme keine Logins mit Zwei-Faktor-Authentifizierung zulassen und die Ablöse des klassischen Passworts noch auf sich warten lässt, raten die Experten einmal mehr dazu, Passwörter zu verwenden, die Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Im Hinblick auf KI-gestützte Tools sei es aber besonders wichtig, auf die Länge der Passphrase zu achten: Sie sollte laut Home Security Heroes mindestens 15 Zeichen umfassen. Darüber hinaus sei es auch empfehlenswert, Passwörter mindestens alle drei Monate auszutauschen. (bbr, 8.4.2023)