Das Sprachmodell ChatGPT hat den öffentlichen Diskurs rund um das Thema künstliche Intelligenz (KI) mit neuem Treibstoff versorgt. Aktuell wird KI von Journalisten, Forschern und Politikern von allen Seiten durchleuchtet. Denn künstliche Intelligenz bringt neben beinahe grenzenlosem Potenzial auch hohe Risiken mit sich. Eingebettet in Suchmaschinen können diese etwa Falschinformationen produzieren. Ferner lassen sich Sprachmodelle auf KI-Basis auch als Phishing-Generator zweckentfremden und können bei Bürgern und Unternehmen so einen hohen finanziellen Schaden verursachen. Doch auch ein direkterer Missbrauch ist möglich. Sicherheitsexperten des Portals Home Security Heroes haben ein KI-Hacking-Tool auf Millionen Passwörter angesetzt. Mit erschreckendem Ergebnis.
KI-Tool knackt Passwörter mit Leichtigkeit
Im Rahmen des Versuchs wurde das KI-Tool PassGAN mit 15.680.000 gewöhnlichen Passwörtern aus einer Datenbank getestet. Zuvor wurden sämtliche Kennwörter mit weniger als 4 und mehr als 18 Zeichen ausgesiebt. Das Ergebnis: 51 der Passwörter wurden innerhalb einer einzigen Minute geknackt. 65 Prozent innerhalb einer Stunde und 71 Prozent innerhalb eines Tages. Nach einem Monat konnte das Tool 81 Prozent aller Passwörter hacken – folglich waren nur 19 Prozent der Passwörter sicher. Wobei „sicher“ relativ zu verstehen ist, denn ein Monat ist objektiv betrachtet keine allzu lange Zeitperiode.
Der Grund, weshalb sich die meisten Passwörter innerhalb von nur 60 Sekunden knacken ließen, liegt in erster Linie darin, dass ein Gros der Nutzer schwache und offensichtliche Kennwörter verwendet. So führen Passwörter wie „123456“, „123456789“ und „password“ bereits seit Jahren das Beliebtheits-Ranking an. Diese müssen gar nicht erst geknackt werden. Denn sie sind bereits prominent in Datenbanken mit oftmals verwendeten Passwörtern vertreten. Abseits gängiger Kennwörter ist es einerseits die geringe Zeichenzahl und andererseits die geringe Abwechslung, die schwache Passwörter kennzeichnet. Die unten abgebildete Tabelle verrät, wie lange PassGAN benötigt, um bestimmte Passwortarten zu hacken.
Vorsichtige Entwarnung: Ganz so schlimm, wie die Situation auf den ersten Blick wirken mag, ist sie in der Praxis nicht. Denn zahlreiche Dienste beschränken die Zahl der Login-Versuche respektive setzen Ablauffristen bei mehreren fehlgeschlagenen Versuchen. Dadurch können Hacking-Tools die generierten Passwörter nicht in Dauerschleife austesten und das Konto bleibt sicher. Es ist jedoch absolut nicht zu empfehlen, sich ausschließlich auf diesen Schutzmechanismus zu verlassen.
So schützt du dich und deine Konten
Der Versuch ergab, dass sich Passwörter mit lediglich sieben oder weniger Zeichen generell innerhalb von sechs Minuten knacken lassen. Daher gilt es, auf die Länge des Kennworts zu achten. Ferner sind Passwörter mit großen und kleinen Buchstaben, Zahlen sowie Sonderzeichen besonders sicher, da die Zahl der möglichen Variationen bei Verwendung jeweils deutlich ansteigt. Üblichen Mustern sollte das Kennwort allerdings nicht entsprechen. Denn in diesem Fall lassen sich auch lange Passwörter leicht überwinden. Etwa: „Passwort123456789“. Weitere Tipps zum Erstellen starker Kennwörter verrät unser Passwort-Ratgeber.
Abseits der Kennwortgestaltung solltest du darauf achten, nicht überall die gleichen Passwörter zu verwenden. Insbesondere die verknüpfte E-Mail-Adresse sollte mit einem eigenen starken Kennwort versehen werden. Denn diese fungiert meistens auch als Wiederherstellungs-Mail und kommt daher zum Einsatz, wenn man seine Zugangsdaten vergessen hat und das Passwort zurücksetzen möchte. Hat der Hacker die Sicherheitsvorkehrungen der E-Mail-Adresse also erst einmal überwunden, kann er sich ohne große Mühe in die meisten verknüpften Konten „hacken“. Ferner empfiehlt es sich, nach Möglichkeit eine sogenannte Zwei-Faktor-Authentifizierung (2FA) einzurichten. Diese stellt eine weitere digitale Schutzlinie gegen Cyberkriminelle dar.