Eine neue Studie von Messente kommt zum Schluss, dass sich 85,6 % aller gängigen Passwörter in weniger als zehn 10 Sekunden per KI knacken lassen. Aber es gibt einige Strategien dagegen, mit denen man seine Kennwörter auch in Zeiten von AI absichern kann.
In einer Mitteilung, die mir zugegangen ist, schreibt Messente, dass man 14,2 Millionen echte Passwörter mit Tools wie PassGAN und GPU-basierten Simulationen analysiert habe. Dabei wurde getestet, wie schnell KI diese Kennwörter knacken kann und was Nutzer tun können, um sich zu schützen. Hier die Kern-Erkenntnisse der Studie:
- 85,6 % der Passwörter werden in weniger als 10 Sekunden geknackt, 88 % in weniger als einem Monat.
- Kurze Passwörter (≤ 8 Zeichen) werden unabhängig von ihrer Komplexität sofort geknackt.
- Passwörter mit mehr als 16 Zeichen und gemischten Zeichen benötigen Billionen von Jahren, um geknackt zu werden.
Länge schlägt Komplexität: Ein gemischtes Passwort mit 12 Zeichen hält 1.000 Jahre, ein Passwort mit 10 Zeichen, das nur aus Buchstaben besteht, wird in 3 Wochen geknackt. Laut dem Report How Quick can AI Crack Your Passwords benötigen KI-gestützte Tools wie PassGAN (Password Generative Adversarial Network) eine einfachen Brute-Force-Angriffe mehr. Stattdessen lernen sie aus echten geleakten Passwortdatenbanken – wie dem riesigen RockYou-Datensatz – und erkennen, wie Menschen tatsächlich Passwörter erstellen.
Sie erkennen Gewohnheiten wie die Großschreibung des ersten Buchstabens, das Ersetzen von „o" durch „0" oder das Hinzufügen von „!" am Ende. Dadurch kann die KI wahrscheinlichere Passwörter vorhersagen und Millionen von zufälligen Vermutungen überspringen. In Kombination mit modernen GPUs, die Milliarden von Berechnungen pro Sekunde ausführen können, kann die KI schwache Passwörter fast sofort knacken.
Die Strategie gegen einen AI-gestützten Passwort-Hack besteht darin, keine gleichen Passwörter für mehrere Konten zu nutzen und lange, als Zeichen, Sonderzeichen und Ziffern bestehende Passwörter zu verwenden. Auch wird die Verwendung von Passwort-Managern empfohlen. Die beste Absicherung gegen einen Passwort-gestützten Passwort-Hack besteht in der Verwendung der Zwei-Faktor-Authentifizierung (2FA).
MVP: 2013 – 2016
Erstaunlich wieviele Passwörter immernoch so einfach sind. Über 85 Prozent finde ich ganz schön hoch, wenn man bedenkt, wie lange immer wieder gesagt wird, wie man es am besten macht. Beruhigend ist aber, das ich wohl nicht auf dem falschen Weg bin. Passwortmanager, für jeden Dienst seperate Passwörter aus Zahlen, Sonderzeichen und Klein- wie Großbuchstaben, die oft über 20 Zeichen lang sind… So mach ich das gefühlt schon seit 20 Jahren.
Aber Strategien gibts eben viele. Ein Grundpasswort mit zusätzlichen Zeichen o. Ä. – wichtig ist nur, das man eben mal darüber nachdenkt und nicht überall das gleiche Passwort nutzt. Dann ist schon viel gewonnen.
Vielen Leuten ist die Sicherheit egal.
Die wollen möglichst gar kein Passwort, weil das ja viel bequemer ist, als ein lästiges Passwort eintippen zu müssen.
Das sieht man häufiger z.B. daran, das Leute fragen, wie man denn bei Windows die passwortlose Anmeldung einrichtet.
Und Microsoft tut da auch nichts, sonst wäre diese Möglichkeit aus Windows schon lange entfernt worden und die Passwort-Policy standardmäßig aktiv (per Default verlangt die u.a. mindestens 14 Stellen beim Passwort).
Ich habe da grundsätzlich alles mit entsprechend langen und komplizierten Passwörtern passwortgeschützt und auch bei jedem Dienst ein anderes Passwort und i.d.R. sogar einen anderen Benutzernamen.
Und bei Sonderzeichen verwende ich auch unübliche Zeichen und nicht nur z.B. das ! oder %. Die Bruteforce-Angriffe versuchen i.d.R. nur die Sonderzeichen, die man direkt über eine englische Tastatur erreichen kann.
Aber schon so etwas wie ein € anstelle eines ! erhöht die Sicherheit, da das € meist bei Bruteforce-Angriffen nicht genutzt wird.
Auch landestypische Zeichen sind gut. Im Deutschen wären das die Umlaute und das ß. Oder Buchstaben mit Akzent wie im Französischen.