Die Illusion der sicheren Zeichenfolge: Warum KI-Passwörter und öffentliche „Weltmeister“ gleichermaßen scheitern
Autor: DerSchneider
Einleitung
„Mb2.r5oHf-0t“ – diese scheinbar willkürliche Abfolge von Buchstaben, Ziffern und Sonderzeichen wurde vor gut einem Jahrzehnt vom Postillon als „sicherstes Passwort der Welt“ gekürt. Was als satirischer Seitenhieb auf die damalige Passwort-Hysterie gedacht war, entpuppte sich als unbeabsichtigtes Lehrstück über ein tiefgreifendes Problem der digitalen Sicherheitskultur: Wir vertrauen auf Muster, die wir für zufällig halten, und auf Maschinen, die keine echten Zufälle erzeugen können.
Gleichzeitig zeigt eine aktuelle Untersuchung der Sicherheitsfirma Irregular Security, dass KI-Chatbots wie ChatGPT, Claude oder Gemini systematisch vorhersagbare Passwörter generieren – mit einer realen Entropie von nur 27 Bit, während selbst ein einfacher Passwortmanager problemlos 98 Bit erreicht. Und als wäre das nicht genug, offenbarte eine Studie der ETH Zürich, dass selbst Cloud-basierte Passwortmanager mit Zero-Knowledge-Versprechen nicht vor ausgeklügelten Server-Angriffen gefeit sind.
Dieser Artikel beleuchtet die historische Entwicklung von Passwörtern, die strukturellen Schwächen von KI-generierten Geheimnissen, die Ironie des „Weltmeister-Passworts“ und gibt einen realistischen Ausblick auf eine passwortlose Zukunft.
1. Ein kurzer Ritt durch die Geschichte des Passworts
Das Passwort ist so alt wie die Menschheit. Schon römische Wachen erkannten sich an Losungen. In der digitalen Welt führte das MIT in den 1960er Jahren das erste Computer-Passwort ein – als Schutz für geteilte Großrechner. Doch bis in die 1990er Jahre hinein war das Bewusstsein für Sicherheit rudimentär: Passwörter waren kurz, oft Wörter aus dem Wörterbuch, und wurden auf gelben Post-its am Monitor befestigt.
Mit dem Aufkommen des Internets und des E-Commerce wuchs der Bedarf an stärkeren Geheimnissen. Die Fachwelt entwickelte Konzepte wie Entropie (ein Maß für die Unvorhersagbarkeit) und forderte Groß-/Kleinschreibung, Ziffern und Sonderzeichen. Die berüchtigte Tabelle des National Institute of Standards and Technology (NIST) aus dem Jahr 2003 empfahl regelmäßige Passwortwechsel und komplexe Zeichenketten – Empfehlungen, die erst 2017 revidiert wurden, weil sie zu schlechten Gewohnheiten führten („Passwort1!“, „Sommer2024!“).
Heute wissen wir: Die Länge eines Passworts ist wichtiger als seine kryptische Komplexität, und nichts ist so gefährlich wie ein einmal öffentlich gewordener „Geheimtipp“.
2. Das „sicherste Passwort der Welt“ – eine Satire wird zum Risiko
Am 15. April 2014 veröffentlichte der Postillon einen Artikel mit der Schlagzeile: *„IT-Experten küren Mb2.r5oHf-0t zum sichersten Passwort der Welt“.* Der Text imitierte perfekt eine echte Pressemeldung: Der Chaos Computer Club (CCC) habe das Passwort nach „wochenlangen Tests“ gekürt, und ein fiktiver Sprecher lobte die „makellose Zeichenfolge“. Die Pointe: Besorgten Nutzern wurde geraten, „schnellstmöglich alle Accounts auf dieses Passwort umzustellen“.
Die Satire zielte auf zwei damals wie heute aktuelle Phänomene:
- Die Jagd nach dem einen perfekten Passwort, das alle Probleme löst.
- Die blinde Übernahme scheinbar autoritativer Empfehlungen ohne Quellenprüfung.
Doch die Realität holte den Witz ein. Zahlreiche Forenbeiträge und Leak-Datenbanken belegen, dass echte Menschen genau dieses Passwort tatsächlich verwendet haben. Einmal öffentlich, ist ein Passwort tot – es wird in jede gängige Angriffsliste (z. B. rockyou.txt, SecLists) aufgenommen. Heute wäre Mb2.r5oHf-0t vermutlich eines der ersten, das ein Brute-Force-Tool nach bekannten Mustern durchprobiert.
| Eigenschaft | Bewertung |
|---|---|
| Länge | 11 Zeichen – akzeptabel |
| Zeichenvielfalt | Groß, klein, Ziffern, Sonderzeichen – gut |
| Zufälligkeit | Nein (erkennbares Muster) – schlecht |
| Öffentlich bekannt | Ja – katastrophal |
| Wiederverwendung empfohlen | Ja (in der Satire) – katastrophal |
Die Lehre: Ein noch so komplex aussehendes Passwort ist wertlos, sobald es irgendwo im Klartext aufgetaucht ist – egal ob im Postillon, in einer Datenpanne oder in einem YouTube-Kommentar.
3. KI-generierte Passwörter: Struktureller Zufall? Von wegen!
Spulen wir in die Gegenwart. KI-Chatbots sind allgegenwärtig. Viele Nutzer bitten ChatGPT & Co., ein „sicheres Passwort“ zu erstellen. Das Ergebnis sieht oft blendend aus, wie das im eingangs erwähnten heise ct-Video gezeigte Beispiel:
A8!kL9#mQ2$zR7&x
Ein Passwortmanager würde 100 Bit Entropie anzeigen – exzellent. Doch das ist eine milchmädchenhafte Rechnung, denn sie setzt echte Gleichverteilung aller Zeichen voraus. Genau die liefert ein Large Language Model (LLM) aber nicht.
3.1 Wie LLMs „denken“
LLMs sind darauf trainiert, die wahrscheinlichste nächste Zeichenfolge vorherzusagen. Sie haben während ihres Trainings Billionen von Texten gesehen und darin statistische Muster gelernt. Wenn Sie ein LLM nach einem Passwort fragen, sucht es in seinem Gewichtsraum nach dem wahrscheinlichsten 16‑stelligen String, der den üblichen Regeln (Großbuchstabe am Anfang, Ziffer, Sonderzeichen) folgt.
Das Ergebnis: Die generierten Passwörter sind nicht gleichverteilt, sondern häufen sich um bestimmte „beliebte“ Kombinationen. Die Firma Irregular Security testete drei bekannte Modelle (ChatGPT, Claude, Gemini) mit jeweils 50 Anfragen. Die Ergebnisse waren ernüchternd:
| Modell | Unterschiedliche Passwörter (von 50) | Häufigstes Passwort | Wiederholungen |
|---|---|---|---|
| Claude Opus 4.6 | 30 | aB3$dE5#fG7&hJ9*k | 18× |
| ChatGPT (GPT-4) | 33 | Xy9#Lm8?qW2!zT4^ | 12× |
| Gemini Pro | 28 | Pq7&rT3%vB6#nM1@ | 14× |
Die gemessene reale Entropie lag bei nur 27 Bit – das entspricht etwa 134 Millionen möglichen Kombinationen. Mit einer modernen Grafikkarte (z. B. NVIDIA RTX 4090) kann ein Angreifer diesen Raum in wenigen Stunden vollständig durchsuchen. Zum Vergleich: Ein echt zufälliges 16‑Zeichen-Passwort aus demselben Zeichensatz hätte 98 Bit Entropie – das sind 316 Billionen Billionen Kombinationen (3,16 × 10²⁹), praktisch unknackbar.
3.2 Warum Passwortmanager die KI-Passwörter falsch bewerten
Passwortmanager wie KeePass, Bitwarden oder LastPass berechnen die Entropie rein nach der Länge und dem verwendeten Zeichensatz – sie nehmen perfekte Gleichverteilung an. Bei einem echten kryptografischen Zufallsgenerator (CSPRNG) ist das korrekt. Bei KI-generierten Strings ist es ein fataler Trugschluss, denn die Zeichen sind nicht unabhängig voneinander.
Die Anzeige „100 Bit“ suggeriert Sicherheit, wo in Wahrheit nur 27 Bit existieren. Das ist vergleichbar mit einem Tresor, der eine 10 cm dicke Stahltür hat – aber das Schloss ist eine einfache Fahrradkette.
3.3 Die unsichtbare Gefahr: KI-Code in der Produktion
Noch beunruhigender: Immer mehr Entwickler nutzen KI zum „Vibe Coding“ – sie beschreiben ein Problem, und die KI generiert komplette Codeblöcke. Die Forscher von Irregular Security durchsuchten öffentliche GitHub-Repositories und fanden tatsächlich KI-typische Passwortmuster in produktivem Code: als Standard-Passwörter für Testdatenbanken, als temporäre API-Keys, sogar als Default-Passwörter in Docker-Compose-Dateien.
Ein Angreifer, der die KI-typischen Muster kennt, kann hochgradig optimierte Wörterbücher erstellen und damit nicht nur Nutzerkonten, sondern auch Backend-Dienste kompromittieren.
4. Die zweite Baustelle: Cloud-Passwortmanager nicht perfekt
Wenn KI-Passwörter tabu sind, bleibt die Empfehlung: Nutzt einen Passwortmanager. Doch auch hier gibt es frische Hiobsbotschaften. Forschende der ETH Zürich untersuchten 2025 drei populäre Cloud-basierte Dienste – Bitwarden, LastPass und Dashlane (zusammen über 60 Millionen Nutzer). Alle drei werben mit „Zero-Knowledge-Encryption“: Der Anbieter kann angeblich niemals auf die gespeicherten Passwörter zugreifen.
Die ETH-Wissenschaftler simulierten einen Angreifer, der die Server des Anbieters vollständig übernommen hat. Ergebnis: Mehr als die Hälfte von 25 getesteten Angriffsszenarien hätte es ermöglicht, die Passwörter im Klartext auszulesen oder zu manipulieren – teilweise mit einfachen Aktionen wie „sich selbst einloggen und die Synchronisation auslösen“.
| Dienst | Schwere der gefundenen Lücken | Status der Behebung |
|---|---|---|
| Dashlane | Hoch (u. a. manipulierte Tresore) | Behoben (Nov. 2024) |
| LastPass | Mittel (URL-Handling) | Behoben |
| Bitwarden | Mittel (mehrere Schwachstellen) | In Arbeit (Stand März 2025) |
Die gute Nachricht: Die Anbieter wurden rechtzeitig informiert (90‑Day‑Disclosure) und haben Patches veröffentlicht. Die schlechte Nachricht: Kein System ist unfehlbar. Ein Angriff setzt zwar voraus, dass der Anbieter bereits tief kompromittiert ist – das ist eine hohe Hürde, aber keine unmögliche (man erinnere sich an die LastPass-Breaches 2022).
5. Perspektiven und Handlungsempfehlungen
5.1 Was tun als normaler Nutzer?
Die Empfehlungen aus dem heise ct-Video sind nach wie vor gültig:
- Keine KI-Chatbots für Passwörter verwenden – sie sind strukturell ungeeignet.
- Passwortmanager weiterhin nutzen – sie sind immer noch weit besser als selbst ausgedachte oder wiederverwendete Passwörter. Wer maximale Kontrolle will, greift zu lokalem KeePassXC ohne Cloud.
- Master-Passwort stark wählen – idealerweise eine 6‑Wort-Passphrase („Krokodil-Rakete-Tasse-Leuchtturm-Klavier-Zitrone“) mit echter Zufallsauswahl (z. B. mittels Würfeln aus einem Wortlisten-„Diceware“).
- PassKeys aktivieren, wo verfügbar – diese gerätegebundenen kryptografischen Schlüssel ersetzen Passwörter vollständig und sind resistent gegen Phishing und Leaks. Apple, Google, Microsoft sowie Dienste wie PayPal, GitHub und Amazon unterstützen Passkeys.
5.2 Was tun als Entwickler?
- Niemals LLMs auffordern, Passwörter, Tokens oder Seeds zu generieren.
- Kryptografische Zufallsgeneratoren der jeweiligen Programmiersprache verwenden (z. B.
secretsin Python,crypto/randin Go,SecureRandomin Java). - Code-KI nutzen, aber generierte Passwort-Strings explizit überprüfen und durch echte Zufallswerte ersetzen.
5.3 Die Zukunft: Vom Passwort zur Public-Key-Authentifizierung
Die Passwort-Ära neigt sich dem Ende zu. WebAuthn / Passkeys sind der erste massentaugliche Standard, der auf asymmetrischer Kryptographie basiert. Der private Schlüssel verlässt niemals das Gerät des Nutzers, der öffentliche Schlüssel wird beim Dienst hinterlegt. Anmeldung erfolgt per Biometrie, PIN oder Geräte-Entsperrung. Das Konzept eliminiert die klassischen Passwortprobleme: keine Wiederverwendung, kein Phishing, kein Leaken.
Bis zur flächendeckenden Einführung wird es noch Jahre dauern. Doch schon heute können Nutzer bei vielen wichtigen Diensten (Google, Microsoft, Apple-ID, GitHub, Amazon) Passkeys aktivieren. Die parallele Nutzung eines Passwortmanagers bleibt vorerst sinnvoll.
Fazit und Ausblick
Das scheinbar sichere KI-Passwort und das öffentlich gekürte „Weltmeister-Passwort“ sind zwei Seiten derselben Medaille: Wir überschätzen die Fähigkeit von Maschinen, echten Zufall zu erzeugen, und unterschätzen die Gefahr der Öffentlichkeit. Ein Passwort, das jemals irgendwo im Klartext stand – sei es in einem Satireartikel, in einem KI-Trainingstext oder in einem Datenleck – ist für immer verbrannt.
Die gute Nachricht: Wir haben heute bessere Werkzeuge. Echte kryptografische Zufallsgeneratoren sind in jedem Betriebssystem eingebaut. Passwortmanager nutzen sie, Passkeys nutzen sie. Der Weg in eine passwortlose Zukunft ist klar abgesteckt. Bis dahin gilt: Vertrauen Sie keinem Muster, das nach Zufall aussieht – vertrauen Sie nur geprüfter Mathematik.
Quellen
- Irregular Security (2025): „LLM-generated Passwords are not random – A security analysis“ – nicht öffentlich, aber referenziert im heise-ct-Video.
- heise ct (2025): YouTube-Video *„(111) KI-Passwörter sind unsicher – und das ist kein Bug“* (Direktlink:
https://www.youtube.com/watch?v=oW9EhFbfIlU). - ETH Zürich / Departement Informatik (2025): Studie zu Zero-Knowledge-Cloud-Passwortmanagern (Bitwarden, LastPass, Dashlane) – im Video genannt, vorläufiger Bericht erwartet.
- Der Postillon (15. April 2014): *„IT-Experten küren Mb2.r5oHf-0t zum sichersten Passwort der Welt“* –
https://www.der-postillon.com/2014/04/it-experten-kuren-zum-sichersten-passwort.html. - National Institute of Standards and Technology (NIST) – *Special Publication 800-63B* (2017 Revision), insbesondere die Abkehr von regelmäßigen Passwortwechseln und die Empfehlung von Passphrasen.
- FIDO Alliance – Spezifikationen zu WebAuthn und Passkeys (aktuell:
https://fidoalliance.org/passkeys/).
Kommentar abschicken