Auf den ersten Blick wirkt es durchaus beeindruckend: Innerhalb von sechs Minuten soll die KI PassGAN jedes Passwort unter sieben Zeichen knacken, in unter einer Stunde hat sie 65 Prozent aller an ihr getesteten Passwörter gehackt. Was bei vielen eine reflexhafte Bedrohung durch KI auslösen dürfte, zeigt allerdings vor allem eines: Die meisten Menschen machen bei der Passwort-Auswahl immer wieder dieselben Fehler. Obwohl es einfach ist, es besser zu machen.
Das macht sich die KI sogar zunutze. Um die Passwörter so schnell erraten zu können, hat man die künstliche Intelligenz an Datenbanken echter Passwörter trainiert. Anhand der dort erkannten Muster setzt PassGAN nun neue zusammen. Das funktioniert zwar gut. Aber vor allem deshalb, weil die Mehrzahl der Passwörter schlicht schlecht ist.
Hauptsache k0mPliz1ert: Auf diese Passwort-Mythen fallen wir alle herein
Bei Hackern denkt man oft an staatliche Großangriffe. Dabei sind die meisten einfache Kriminelle. Auch Arno Wacker warnt: "Jedes Passwort ist von Interesse. Es geht nicht darum wie interessant jemand ist, sondern was ein Krimineller mit dem Passwort alles tun kann." Sei es, das Konto zu plündern, auf Kosten des Opfers zu shoppen oder schlicht Spam zu versenden. Im Zweifel werden die Daten einfach verkauft.
Falsche Vorgaben
Daran sind auch viele Passwort-Vorgaben schuld. Jahrelang wurde den Menschen eingebläut, dass Passwörter kompliziert sein und regelmäßig gewechselt werden müssen. Das führte in der Masse allerdings zum Gegenteil. Weil die Menschen sich solche Passwörter schlicht nicht merken können, nutzen sie kürzere, nach bestimmten Schemen gebaute. Und verwenden die dann auch noch gleich mehrfach. Das Problem: Für Maschinen werden sie so eher einfacher zu erraten.
Und das nicht nur für KI. PassGAN schneidet im Vergleich zu anderen Ansätzen nämlich gar nicht besonders gut ab. "Diese Werte sind weder beeindruckend, noch aufregend", urteilte etwa Experte Jeremi Gosney gegenüber "Ars Technica" über die KI-Ansätze. Attacken, die einfach stoisch Buchstaben- und Zahlenombinationen durchprobieren und dabei die Wahrscheinlichkeit von Platzierungen und Buchstaben-Kombinationen bedenken, schneiden oft genauso gut oder besser ab. Gemeinsam mit gigantischen Listen von bekannten Worten, bereits genutzten Passwörtern und sogenanntem "Mangling", bei dem beliebte Varianten ausprobiert werden, lassen sich Passwörter auch ohne KI-Hilfe genauso schnell oder sogar schneller knacken.
So sollten Sie bei Passwörtern wirklich vorgehen
Der ideale Umgang mit Passwörtern ist daher, den Maschinen das Raten möglichst schwer zu machen. Und dabei gilt vor allem eine Regel: Ein zu langes Passwort gibt es nicht. Auf aktuellen Rechnern, die Milliarden von Kombinationen in der Sekunde ausprobieren können, ist jedes Passwort unter fünf Zeichen quasi sofort geknackt. Egal, wie komplex es ist. Ein 13-stelliges Passwort nur aus zufälligen Kleinbuchstaben läst sich dagegen im Schnitt nach zwei Monaten berechnen. Kommt auch nur ein Großbuchstabe hinzu, sind es schon 1000 Jahre. Jede weitere Variable wie Zahlen oder Sonderzeichen lässt diese Zeit nach oben schnellen. Aber auch mehr Buchstaben helfen: Ein Passwort aus 18 Kleinbuchstaben würde in der Berechnung zwei Millionen Jahre benötigen. Eine Aneinanderreihung mehrerer nicht zusammenhängender Worte – Passphrase genannt – ist daher sicherer als jedes kurze, aber noch so komplexe Passwort.
Damit sich die Menschen die Passwörter auch merken können, haben sich Sicherheitsexperten längst geeinigt, eine der sinnlosesten Vorgaben aufzugeben: Ständig das Passwort zu wechseln, sorgt nur dafür, dass man ein leichtes wählt. Die klare Empfehlung lautet deshalb mittlerweile: Ein Passwort sollte man nur wechseln, wenn es Anzeichen gibt, dass es geleakt oder gestohlen wurde. Dafür sollte man allerdings darauf verzichten, Passwörter mehrfach zu verwenden. Um die Übersicht zu behalten, empfiehlt sich ein Passwort-Manager. Mit dem lassen sich die Passwörter auch ganz automatisch erstellen und speichern. Dann muss man sich nur noch das Passwort für den Manager merken. Das sollte dann aber auch sicher sein.
Quellen: Home Security Heroes, Ars Technica, BSI, Hive Systems
