Die KI PassGAN… oder: KI knackt Passwörter

1. Stets der gleiche Trend

Digitalisierung erleichtert den Arbeitsalltag. Statt Verträge mit 20 Seiten einzeln nach einem Wort abzusuchen lässt sich dies heutzutage per Mausklick erledigen. Mit Anwaltssoftware lassen sich stets gleiche Arbeitsabläufe zeiteffizient automatisieren – und so ist es eben auch beim Knacken von Passwörtern. Eine KI bzw. selbst ein einfacherer Algorithmus kann in Minuten unzählige Passwortkombinationen durch einen Login jagen.

2. Der KI-Passwortgenerator

Die Sicherheitsexperten Home Security Heroes haben in einem Test dem Passwortgenerator PassGAN 15 Millionen gebräuchliche Passwörter gefüttert. Diese KI verfügt darüber hinaus über ein sogenanntes Generative Adversial Network (GAN), sodass sie aus den gefütterten Passwörtern auch authentische neue kreieren kann. Diese kreative Fähigkeit ist es gerade, was etwa die heutzutage berühmteste KI „ChatGPT“ so erfolgreich machte.

3. Die technische Seite

Die KI geht dabei so vor, wie Menschen es auch tun würden, wenn sie die Rechenkapzität und Schnelligkeit hätten: Es werden wild Buchstaben und Zahlen durcheinander gemixt. Für uns Menschen klingt das unsinnig, weil wir versuchen würden, uns möglichst wahrscheinliche und sinnvolle Passwörter auszudenken. Doch die KI stört es nicht, wenn mehr als 99,99% der Passwörter falsch sind. Durch ihre Schnelligkeit profitiert sie gerade von der riesigen Menge an Daten, die das GAN erzeugt. Ein Aussuch-Algorithmus geht sie alle in menschenunmöglicher Geschwindigkeit durch und sucht sich passende Passwörter heraus.

4. Rockyou.txt

Die Daten der Lerndatenbank für PassGAN stammen aus dem sogenannten Rockyou-Datensatz. Dieser ist eine Liste von Passwörtern eines Unternehmens, dass vor einigen Jahren gehackt wurde und deren Passwörter nun als reales Trainingsmaterial benutzt werden. Umso mehr gilt: Hier wurden gebräuchliche Passwörter als Grundlage der KI verwendet – denn noch immer wählen Menschen als ihr Passwort das Geburtsdatum oder „1234“. Wer sich mit „4321“ sicher fühlt sollte ebenfalls dringend etwas ändern!

5. Wie sicher ist mein Passwort?

Das Ergebnis des Tests ist: Das einfachste reale Passwort lässt sich in Sekunden knacken. Mittelschwere Passwörter in Tagen oder wenigen Wochen. Das schwerste Passwort soll von dieser speziellen Test-KI erst in Millionen von Jahren zu knacken sein. Dabei sollte aber beachtet werden, dass es sich nicht zwingend um die ausgereifste KI handelt und Profis mit ganzen Server-Bunkern sicher noch gesteigerte Kapazitäten besitzen. Zudem werden Hacker die Knacker-KI mit anderen Schadsoftware-Programmen zusammen verwenden, sodass auch dadurch die Gefahr nochmals steigt. Und gewöhnliche Passwörter werden zu 51% in weniger als einer Minute geknackt! Weitere Ergebnisse in der Übersicht von Home Security Heroes.

6. Wie kann ich mich schützen?

Leider muss es gesagt werden: Nicht gewöhnliche Passwörter verwenden! Auch nicht Worte verwenden. In unsere Zeitalter können selbst Anwalts-KIs bereits Sinnzusammenhänge von Buchstaben und Wörtern erkennen. Es ist wichtiger denn je, sich als Passwort tatsächlich genau das auszusuchen, was man sich selber kaum merken kann. Gerade mit Blick auf die steigende Bedrohung von Kanzleien und ihren sensiblen Daten durch Hacker! Das Paradox von einfachem Passwort im Kopf oder schwierigem Passwort auf dem Klebezettel am Bildschirm ist aber in der Tat schwer zu lösen. Eine Alternative bieten hochsichere Passwort-Cloud-Spezialisten, ob man aber seine wichtigsten Passwörter etwa Google nicht nur preisgeben möchte, ist eine persönliche Entscheidung. Die Cybersicherheit ist zumindest dort größer als der eigene Name in Kleinbuchstaben als Passwort.

Dein eigenes Passwort oder einen Test kannst du übrigens gratis auf der Website von Home Security Heroes prüfen lassen!