- KI-generierte Passwörter folgen Mustern, die Hacker studieren können
- Die Komplexität der Oberfläche verbirgt darunter die statistische Vorhersagbarkeit
- Entropielücken in KI-Passwörtern legen strukturelle Schwächen bei KI-Anmeldungen offen
Große Sprachmodelle (LLMs) können dazu führen, dass Passwörter komplex aussehen. Aktuelle Tests deuten jedoch darauf hin, dass diese Zeichenfolgen alles andere als zufällig sind.
Eine Studie von Irregulär untersuchte Passwortausgaben von KI-Systemen wie Claude, ChatGPT und Gemini und forderte jedes dazu auf, 16-stellige Passwörter mit Symbolen, Zahlen und Groß-/Kleinschreibung zu generieren.
Auf den ersten Blick wirkten die Ergebnisse überzeugend und bestanden gängige Online-Sicherheitstests. Einige Prüfer schätzten, dass es Jahrhunderte dauern würde, sie zu knacken, aber ein genauerer Blick auf diese Passwörter zeigte eine andere Geschichte.
LLM-Passwörter weisen Wiederholungen und erratbare statistische Muster auf
Als die Forscher 50 Passwörter analysierten, die in separaten Sitzungen generiert wurden, stellten viele fest, dass es sich um Duplikate handelte und einige nahezu identische Strukturmuster aufwiesen.
Die meisten begannen und endeten mit ähnlichen Zeichentypen und keines enthielt sich wiederholende Zeichen.
Das Fehlen von Wiederholungen mag beruhigend wirken, signalisiert jedoch tatsächlich, dass die Ausgabe erlernten Konventionen folgt und nicht dem echten Zufall.
Mithilfe von Entropieberechnungen auf der Grundlage von Zeichenstatistiken und Modellprotokollwahrscheinlichkeiten schätzten die Forscher, dass diese KI-generierten Passwörter etwa 20 bis 27 Bit Entropie enthielten.
Ein wirklich zufälliges 16-stelliges Passwort würde nach denselben Methoden typischerweise zwischen 98 und 120 Bit messen.
Die Lücke ist erheblich – und in der Praxis könnte dies bedeuten, dass solche Passwörter innerhalb weniger Stunden anfällig für Brute-Force-Angriffe sind, selbst auf veralteter Hardware.
Online-Messgeräte für die Passwortstärke bewerten die Oberflächenkomplexität, nicht die versteckten statistischen Muster hinter einer Zeichenfolge – und weil sie nicht berücksichtigen, wie KI-Tools Wenn sie Text generieren, können sie vorhersehbare Ausgaben als sicher einstufen.
Angreifer, die diese Muster verstehen, könnten ihre Ratestrategien verfeinern und so den Suchraum drastisch einschränken.
Die Studie ergab außerdem, dass ähnliche Sequenzen in öffentlichen Code-Repositories und Dokumentationen auftauchen, was darauf hindeutet, dass KI-generierte Passwörter möglicherweise bereits weit verbreitet sind.
Wenn sich Entwickler beim Testen oder bei der Bereitstellung auf diese Ausgaben verlassen, erhöht sich das Risiko mit der Zeit – tatsächlich vertrauen selbst die KI-Systeme, die diese Passwörter generieren, ihnen nicht vollständig und geben möglicherweise Warnungen aus, wenn sie gedrückt werden.
Gemini 3 Pro gab beispielsweise Passwortvorschläge zurück und warnte gleichzeitig davor, im Chat generierte Anmeldeinformationen nicht für vertrauliche Konten zu verwenden.
Stattdessen wurden Passphrasen empfohlen und Benutzern empfohlen, sich auf eine dedizierte Passphrase zu verlassen Passwort-Manager.
A Passwortgenerator Die in solche Tools eingebaute Methode basiert eher auf kryptografischer Zufälligkeit als auf Sprachvorhersage.
Vereinfacht ausgedrückt werden LLMs darauf trainiert, plausiblen und wiederholbaren Text und keine unvorhersehbaren Sequenzen zu produzieren. Daher ist das allgemeinere Anliegen struktureller Natur.
Die Designprinzipien hinter LLM-generierten Passwörtern stehen im Widerspruch zu den Anforderungen einer sicheren Authentifizierung und bieten daher eine Lücke beim Schutz.
„Menschen und Programmierer sollten sich bei der Generierung von Passwörtern nicht auf LLMs verlassen“, sagte Irregulär.
„Passwörter, die durch direkte LLM-Ausgabe generiert werden, sind grundsätzlich schwach, und dies kann nicht durch Eingabeaufforderungen oder Temperaturanpassungen behoben werden: LLMs sind darauf optimiert, vorhersehbare, plausible Ausgaben zu erzeugen, was mit der sicheren Passwortgenerierung nicht kompatibel ist.“
Über Das Register
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
