Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Keine Zufallszahlen: KI-Passwortgeneratoren sind überraschend schwach

Sicherheitsexperten warnen: Von ChatGPT , Claude und Gemini generierte Passwörter wirken stark, sind aber leicht zu knacken.
/ Andreas Donath
12 Kommentare News folgen (öffnet im neuen Fenster)
Passwörter aus LLMs taugen nichts. (Bild: Pexels)
Passwörter aus LLMs taugen nichts. Bild: Pexels

Generative KI-Tools sind ungeeignet für die Erstellung sicherer Passwörter(öffnet im neuen Fenster) : Das Sicherheitsunternehmen Irregular untersuchte Claude, ChatGPT und Gemini und stellte fest, dass alle drei Chatbots Passwörter erzeugten, die auf den ersten Blick stark wirkten, aber leicht zu erraten waren.

Bei der Aufforderung, 16-Zeichen-Passwörter mit Sonderzeichen, Zahlen und Buchstaben zu generieren, produzierten die Tools zwar komplexe Zeichenketten. Die Sicherheitsforscher probierten zudem Online-Passwort-Checker aus, die gemeinsame Muster zwischen den Kennwörtern nicht erkannten.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Informatiker / Fachinformatiker (m/w/d) Digitalisierung Landkreis Stade, Stade (öffnet im neuen Fenster)
IT-Experte (m/w/d) SuccessFactors Time Max Planck Information and Technology, München (öffnet im neuen Fenster)
Mitarbeiter:in Digitalisierung (w/m/d) PERBILITY GmbH, Berlin (öffnet im neuen Fenster)
Fachinformatiker Systemintegration (m/w/d) IT Service Desk / Support ELE Verteilnetz GmbH, Bottrop (öffnet im neuen Fenster)
(Junior) IT-Spezialist Mobile Devices (m/w/d) Schwarz Digits, Weinsberg (öffnet im neuen Fenster)
Softwareentwickler (m/w/d) Uniface - Vollzeit / Teilzeit Abrechnungszentrum Emmendingen, Emmendingen (öffnet im neuen Fenster)
Ausbildung zum Fachinformatiker für Anwendungsentwicklung 2026 (m/w/d) Schwarz Digits, Neckarsulm (öffnet im neuen Fenster)
Mitarbeiter (m/w/d) IT Risiko & Digitale Resilienz (DORA), 50-100% VZ VermögensZentrum Deutschland, München (öffnet im neuen Fenster)

Gemeinsame Muster machen KI-Passwörter angreifbar

Irregular fand jedoch heraus, dass alle drei KI-Chatbots Passwörter mit gemeinsamen Mustern erzeugten. Wenn Hacker die Muster verstehen, können sie dieses Wissen nutzen, um ihre Brute-Force-Strategien anzupassen.

Die Forscher testeten Claude mit dem Opus 4.6 Modell und forderten es 50 Mal auf, ein Passwort zu generieren. Dazu wurde jedes Mal eine neue Session gestartet. Von den 50 zurückgegebenen Kennwörtern waren nur 30 einzigartig, 20 waren Duplikate, von denen 18 exakt dieselbe Zeichenkette aufwiesen. Die überwiegende Mehrheit begann und endete mit denselben Zeichen.

Tests mit OpenAIs GPT-5.2 und Googles Gemini 3 Flash zeigten ebenfalls Konsistenzen unter allen zurückgegebenen Passwörtern, insbesondere am Anfang der Zeichenketten.

Stark reduzierte Sicherheit

Das Team nutzte zwei Methoden zur Entropie-Schätzung: Zeichenstatistik(öffnet im neuen Fenster) und Log-Wahrscheinlichkeiten. Sie fanden heraus, dass 16-Zeichen-Entropien von LLM-generierten Passwörtern bei etwa 27 Bits und 20 Bits lagen. Für ein wirklich zufälliges Passwort erwartet die Zeichenstatistikmethode eine Entropie von 98 Bits, während die Log-Wahrscheinlichkeits(öffnet im neuen Fenster) -Methode mit 120 Bits rechnet.

In der Praxis bedeute dies, dass LLM-generierte Passwörter in wenigen Stunden geknackt werden könnten, bilanzierte Irregular.

Zur Startseite 12 Kommentare

Relevante Themen

VerschlüsselungLLMKIGPT-4ChatbotsChatGPTSoftwareMobilitätAutoDatensicherheit