KI-generierte Passwörter zeigen vorhersehbare Muster – Sicherheitsrisiken entstehen

KI-generierte Passwörter weisen fehlerhafte Zufälligkeit auf, warnen Forscher

Eine aktuelle Studie hat erhebliche Schwachstellen in Passwörtern aufgedeckt, die von großen Sprachmodellen (LLMs) generiert werden. Die Untersuchung zeigt, dass KI-erzeugte Zugangsdaten vorhersehbare Muster aufweisen und keine echte Zufälligkeit besitzen. Die Ergebnisse, veröffentlicht von Irregular Security, verdeutlichen kritische Sicherheitsbedenken, da autonome KI-Systeme zunehmend für Kontoerstellung und Authentifizierung eingesetzt werden.

Wichtige Erkenntnisse und technische Analyse

Forscher analysierten 50 Passwörter, die von Claude – einem LLM des Unternehmens Anthropic – generiert wurden, und identifizierten mehrere besorgniserregende Trends:

• Konsistente Formatierung: Alle Passwörter begannen mit einem Großbuchstaben, überwiegend mit "G", gefolgt von der Ziffer "7" in fast jedem Fall.
• Verzerrte Zeichenverteilung: Zeichen wie "L", "9", "m", "2", "$" und "#" tauchten in allen 50 Passwörtern auf, während andere (z. B. "5", "@") selten verwendet wurden. Die meisten Buchstaben des Alphabets fehlten vollständig.
• Keine wiederholten Zeichen: Trotz der statistischen Unwahrscheinlichkeit in wirklich zufälligen Passwörtern vermied Claude wiederholte Zeichen, wahrscheinlich aufgrund einer algorithmischen Präferenz für wahrgenommene Zufälligkeit.
• Vermeidung von Symbolen: Das Sternchen ("*") wurde ausgelassen, möglicherweise wegen seiner speziellen Bedeutung in Markdown, dem von Claude verwendeten Ausgabeformat.
• Hohe Wiederholungsrate: Über 50 Versuche hinweg wurden nur 30 einzigartige Passwörter generiert. Das Passwort G7$kL9#mQ2&xP4!w erschien 18 Mal, was einer Wahrscheinlichkeit von 36 % im Testset entspricht – weit über der erwarteten 2^-100-Wahrscheinlichkeit für ein 100-Bit-Passwort.

"Dieses Ergebnis ist nicht überraschend", bemerkte der Cybersicherheitsexperte Bruce Schneier. "Passwortgenerierung scheint genau das zu sein, worin LLMs nicht gut sein sollten. Wenn KI-Agenten jedoch autonom agieren, werden sie Konten erstellen – und das wird zu einem ernsthaften Problem."

Auswirkungen und weitergehende Konsequenzen

Die Studie unterstreicht eine grundlegende Einschränkung von LLMs in sicherheitskritischen Anwendungen. Obwohl KI-generierte Passwörter aufgrund ihrer Länge und Komplexität stark erscheinen mögen, machen ihre vorhersehbaren Muster sie anfällig für Brute-Force-Angriffe. Ein Angreifer, der diese Verzerrungen kennt, könnte den Zeit- und Rechenaufwand zum Knacken solcher Passwörter erheblich reduzieren.

Die Risiken gehen über die Passwortgenerierung hinaus. Da KI-Systeme zunehmend autonom Aufgaben wie die Verwaltung von Cloud-Diensten, APIs oder IoT-Geräten übernehmen, wird ihre Fähigkeit, Authentifizierung sicher zu handhaben, entscheidend. Die aktuellen Schwachstellen in LLM-generierten Zugangsdaten könnten zu weitreichenden Sicherheitslücken führen, wenn sie nicht behoben werden.

Empfehlungen für Sicherheitsexperten

Um diese Risiken zu minimieren, sollten Organisationen und Entwickler folgende Maßnahmen ergreifen:

1. Verzicht auf LLMs zur Passwortgenerierung: Nutzen Sie etablierte kryptografische Bibliotheken (z. B. OpenSSL, libsodium) oder dedizierte Passwortmanager, um Passwörter mit hoher Entropie zu generieren.
2. Implementierung von Multi-Faktor-Authentifizierung (MFA): Selbst wenn Passwörter kompromittiert werden, bietet MFA eine zusätzliche Sicherheitsebene für KI-gesteuerte Konten.
3. Überwachung auf Muster KI-generierter Zugangsdaten: Sicherheitsteams sollten die in dieser Studie identifizierten Verzerrungen kennen und ähnliche Muster in ihrer Umgebung überwachen.
4. Schulung von Entwicklern zu KI-Einschränkungen: Stellen Sie sicher, dass Teams die Risiken des Einsatzes von LLMs für sicherheitsrelevante Aufgaben – einschließlich Authentifizierung und Zugangsdatenverwaltung – verstehen.
5. Forderung nach KI-spezifischen Sicherheitsstandards: Mit der zunehmenden Verbreitung von KI sind branchenweite Richtlinien für sichere KI-gestützte Authentifizierung dringend erforderlich.

Fazit

Die Studie dient als wichtige Erinnerung daran, dass LLMs zwar in vielen Bereichen hervorragende Leistungen erbringen, jedoch noch nicht für sicherheitskritische Funktionen wie die Passwortgenerierung geeignet sind. Da KI-Systeme immer autonomer werden, ist die Behebung dieser Einschränkungen entscheidend, um großflächige Sicherheitsverletzungen zu verhindern. Vorerst bleiben menschliche Aufsicht und traditionelle kryptografische Methoden unverzichtbar für eine sichere Authentifizierung.

Originalstudie: Irregular Security. Weitere Berichterstattung: Gizmodo, Slashdot.