{"id":3944,"date":"2026-03-27T18:29:49","date_gmt":"2026-03-27T17:29:49","guid":{"rendered":"https:\/\/g7itchme.wordpress.com\/?p=3944"},"modified":"2026-03-27T18:29:49","modified_gmt":"2026-03-27T17:29:49","slug":"die-illusion-der-sicheren-zeichenfolge-warum-ki-passworter-und-offentliche-weltmeister-gleichermasen-scheitern","status":"publish","type":"post","link":"https:\/\/technodidact.de\/en\/die-illusion-der-sicheren-zeichenfolge-warum-ki-passworter-und-offentliche-weltmeister-gleichermasen-scheitern\/","title":{"rendered":"Die Illusion der sicheren Zeichenfolge: Warum KI-Passw\u00f6rter und \u00f6ffentliche \u201eWeltmeister\u201c gleicherma\u00dfen scheitern"},"content":{"rendered":"<p class=\"wp-block-paragraph\"><strong>Autor:<\/strong>&nbsp;DerSchneider<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">Einleitung<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">\u201eMb2.r5oHf-0t\u201c \u2013 diese scheinbar willk\u00fcrliche Abfolge von Buchstaben, Ziffern und Sonderzeichen wurde vor gut einem Jahrzehnt vom&nbsp;<em>Postillon<\/em>&nbsp;als \u201esicherstes Passwort der Welt\u201c gek\u00fcrt. Was als satirischer Seitenhieb auf die damalige Passwort-Hysterie gedacht war, entpuppte sich als unbeabsichtigtes Lehrst\u00fcck \u00fcber ein tiefgreifendes Problem der digitalen Sicherheitskultur: Wir vertrauen auf Muster, die wir f\u00fcr zuf\u00e4llig halten, und auf Maschinen, die keine echten Zuf\u00e4lle erzeugen k\u00f6nnen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Gleichzeitig zeigt eine aktuelle Untersuchung der Sicherheitsfirma&nbsp;<em>Irregular Security<\/em>, dass KI-Chatbots wie ChatGPT, Claude oder Gemini systematisch vorhersagbare Passw\u00f6rter generieren \u2013 mit einer realen Entropie von nur 27 Bit, w\u00e4hrend selbst ein einfacher Passwortmanager problemlos 98 Bit erreicht. Und als w\u00e4re das nicht genug, offenbarte eine Studie der ETH Z\u00fcrich, dass selbst Cloud-basierte Passwortmanager mit Zero-Knowledge-Versprechen nicht vor ausgekl\u00fcgelten Server-Angriffen gefeit sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dieser Artikel beleuchtet die historische Entwicklung von Passw\u00f6rtern, die strukturellen Schw\u00e4chen von KI-generierten Geheimnissen, die Ironie des \u201eWeltmeister-Passworts\u201c und gibt einen realistischen Ausblick auf eine passwortlose Zukunft.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">1. Ein kurzer Ritt durch die Geschichte des Passworts<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das Passwort ist so alt wie die Menschheit. Schon r\u00f6mische Wachen erkannten sich an Losungen. In der digitalen Welt f\u00fchrte das MIT in den 1960er Jahren das erste Computer-Passwort ein \u2013 als Schutz f\u00fcr geteilte Gro\u00dfrechner. Doch bis in die 1990er Jahre hinein war das Bewusstsein f\u00fcr Sicherheit rudiment\u00e4r: Passw\u00f6rter waren kurz, oft W\u00f6rter aus dem W\u00f6rterbuch, und wurden auf gelben Post-its am Monitor befestigt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mit dem Aufkommen des Internets und des E-Commerce wuchs der Bedarf an st\u00e4rkeren Geheimnissen. Die Fachwelt entwickelte Konzepte wie&nbsp;<strong>Entropie<\/strong>&nbsp;(ein Ma\u00df f\u00fcr die Unvorhersagbarkeit) und forderte Gro\u00df-\/Kleinschreibung, Ziffern und Sonderzeichen. Die ber\u00fcchtigte Tabelle des&nbsp;<em>National Institute of Standards and Technology (NIST)<\/em>&nbsp;aus dem Jahr 2003 empfahl regelm\u00e4\u00dfige Passwortwechsel und komplexe Zeichenketten \u2013 Empfehlungen, die erst 2017 revidiert wurden, weil sie zu schlechten Gewohnheiten f\u00fchrten (\u201ePasswort1!\u201c, \u201eSommer2024!\u201c).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Heute wissen wir: Die L\u00e4nge eines Passworts ist wichtiger als seine kryptische Komplexit\u00e4t, und nichts ist so gef\u00e4hrlich wie ein einmal \u00f6ffentlich gewordener \u201eGeheimtipp\u201c.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">2. Das \u201esicherste Passwort der Welt\u201c \u2013 eine Satire wird zum Risiko<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Am 15. April 2014 ver\u00f6ffentlichte der&nbsp;<em>Postillon<\/em>&nbsp;einen Artikel mit der Schlagzeile:&nbsp;*\u201eIT-Experten k\u00fcren Mb2.r5oHf-0t zum sichersten Passwort der Welt\u201c.*&nbsp;Der Text imitierte perfekt eine echte Pressemeldung: Der Chaos Computer Club (CCC) habe das Passwort nach \u201ewochenlangen Tests\u201c gek\u00fcrt, und ein fiktiver Sprecher lobte die \u201emakellose Zeichenfolge\u201c. Die Pointe: Besorgten Nutzern wurde geraten, \u201eschnellstm\u00f6glich alle Accounts auf dieses Passwort umzustellen\u201c.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Satire zielte auf zwei damals wie heute aktuelle Ph\u00e4nomene:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Die Jagd nach dem\u00a0<em>einen<\/em>\u00a0perfekten Passwort, das alle Probleme l\u00f6st.<\/li>\n\n\n\n<li>Die blinde \u00dcbernahme scheinbar autoritativer Empfehlungen ohne Quellenpr\u00fcfung.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Doch die Realit\u00e4t holte den Witz ein. Zahlreiche Forenbeitr\u00e4ge und Leak-Datenbanken belegen, dass echte Menschen genau dieses Passwort tats\u00e4chlich verwendet haben. Einmal \u00f6ffentlich, ist ein Passwort tot \u2013 es wird in jede g\u00e4ngige Angriffsliste (z.\u202fB.&nbsp;<em>rockyou.txt<\/em>,&nbsp;<em>SecLists<\/em>) aufgenommen. Heute w\u00e4re&nbsp;<code>Mb2.r5oHf-0t<\/code>&nbsp;vermutlich eines der ersten, das ein Brute-Force-Tool nach bekannten Mustern durchprobiert.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">Eigenschaft<\/th><th class=\"has-text-align-left\" data-align=\"left\">Bewertung<\/th><\/tr><\/thead><tbody><tr><td>L\u00e4nge<\/td><td>11 Zeichen \u2013 akzeptabel<\/td><\/tr><tr><td>Zeichenvielfalt<\/td><td>Gro\u00df, klein, Ziffern, Sonderzeichen \u2013 gut<\/td><\/tr><tr><td>Zuf\u00e4lligkeit<\/td><td>Nein (erkennbares Muster) \u2013 schlecht<\/td><\/tr><tr><td>\u00d6ffentlich bekannt<\/td><td>Ja \u2013 katastrophal<\/td><\/tr><tr><td>Wiederverwendung empfohlen<\/td><td>Ja (in der Satire) \u2013 katastrophal<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Die Lehre:&nbsp;<strong>Ein noch so komplex aussehendes Passwort ist wertlos, sobald es irgendwo im Klartext aufgetaucht ist<\/strong>&nbsp;\u2013 egal ob im Postillon, in einer Datenpanne oder in einem YouTube-Kommentar.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">3. KI-generierte Passw\u00f6rter: Struktureller Zufall? Von wegen!<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Spulen wir in die Gegenwart. KI-Chatbots sind allgegenw\u00e4rtig. Viele Nutzer bitten ChatGPT &amp; Co., ein \u201esicheres Passwort\u201c zu erstellen. Das Ergebnis sieht oft blendend aus, wie das im eingangs erw\u00e4hnten&nbsp;<em>heise ct<\/em>-Video gezeigte Beispiel:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><code>A8!kL9#mQ2$zR7&amp;x<\/code><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Passwortmanager w\u00fcrde 100 Bit Entropie anzeigen \u2013 exzellent. Doch das ist eine milchm\u00e4dchenhafte Rechnung, denn sie setzt&nbsp;<em>echte Gleichverteilung<\/em>&nbsp;aller Zeichen voraus. Genau die liefert ein Large Language Model (LLM) aber nicht.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.1 Wie LLMs \u201edenken\u201c<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">LLMs sind darauf trainiert, die&nbsp;<em>wahrscheinlichste<\/em>&nbsp;n\u00e4chste Zeichenfolge vorherzusagen. Sie haben w\u00e4hrend ihres Trainings Billionen von Texten gesehen und darin statistische Muster gelernt. Wenn Sie ein LLM nach einem Passwort fragen, sucht es in seinem Gewichtsraum nach dem wahrscheinlichsten 16\u2011stelligen String, der den \u00fcblichen Regeln (Gro\u00dfbuchstabe am Anfang, Ziffer, Sonderzeichen) folgt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Ergebnis: Die generierten Passw\u00f6rter sind&nbsp;<strong>nicht gleichverteilt<\/strong>, sondern h\u00e4ufen sich um bestimmte \u201ebeliebte\u201c Kombinationen. Die Firma&nbsp;<em>Irregular Security<\/em>&nbsp;testete drei bekannte Modelle (ChatGPT, Claude, Gemini) mit jeweils 50 Anfragen. Die Ergebnisse waren ern\u00fcchternd:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">Modell<\/th><th class=\"has-text-align-left\" data-align=\"left\">Unterschiedliche Passw\u00f6rter (von 50)<\/th><th class=\"has-text-align-left\" data-align=\"left\">H\u00e4ufigstes Passwort<\/th><th class=\"has-text-align-left\" data-align=\"left\">Wiederholungen<\/th><\/tr><\/thead><tbody><tr><td>Claude Opus 4.6<\/td><td>30<\/td><td><code>aB3$dE5#fG7&amp;hJ9*k<\/code><\/td><td>18\u00d7<\/td><\/tr><tr><td>ChatGPT (GPT-4)<\/td><td>33<\/td><td><code>Xy9#Lm8?qW2!zT4^<\/code><\/td><td>12\u00d7<\/td><\/tr><tr><td>Gemini Pro<\/td><td>28<\/td><td><code>Pq7&amp;rT3%vB6#nM1@<\/code><\/td><td>14\u00d7<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Die gemessene&nbsp;<em>reale<\/em>&nbsp;Entropie lag bei nur&nbsp;<strong>27 Bit<\/strong>&nbsp;\u2013 das entspricht etwa 134 Millionen m\u00f6glichen Kombinationen. Mit einer modernen Grafikkarte (z.\u202fB. NVIDIA RTX 4090) kann ein Angreifer diesen Raum in wenigen Stunden vollst\u00e4ndig durchsuchen. Zum Vergleich: Ein&nbsp;<em>echt<\/em>&nbsp;zuf\u00e4lliges 16\u2011Zeichen-Passwort aus demselben Zeichensatz h\u00e4tte 98 Bit Entropie \u2013 das sind 316 Billionen Billionen Kombinationen (3,16\u202f\u00d7\u202f10\u00b2\u2079), praktisch unknackbar.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.2 Warum Passwortmanager die KI-Passw\u00f6rter falsch bewerten<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Passwortmanager wie KeePass, Bitwarden oder LastPass berechnen die Entropie rein nach der L\u00e4nge und dem verwendeten Zeichensatz \u2013 sie nehmen&nbsp;<em>perfekte Gleichverteilung<\/em>&nbsp;an. Bei einem echten kryptografischen Zufallsgenerator (CSPRNG) ist das korrekt. Bei KI-generierten Strings ist es ein fataler Trugschluss, denn die Zeichen sind nicht unabh\u00e4ngig voneinander.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Anzeige \u201e100 Bit\u201c suggeriert Sicherheit, wo in Wahrheit nur 27 Bit existieren. Das ist vergleichbar mit einem Tresor, der eine 10 cm dicke Stahlt\u00fcr hat \u2013 aber das Schloss ist eine einfache Fahrradkette.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.3 Die unsichtbare Gefahr: KI-Code in der Produktion<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Noch beunruhigender: Immer mehr Entwickler nutzen KI zum \u201eVibe Coding\u201c \u2013 sie beschreiben ein Problem, und die KI generiert komplette Codebl\u00f6cke. Die Forscher von&nbsp;<em>Irregular Security<\/em>&nbsp;durchsuchten \u00f6ffentliche GitHub-Repositories und fanden tats\u00e4chlich KI-typische Passwortmuster in produktivem Code: als Standard-Passw\u00f6rter f\u00fcr Testdatenbanken, als tempor\u00e4re API-Keys, sogar als Default-Passw\u00f6rter in Docker-Compose-Dateien.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Angreifer, der die KI-typischen Muster kennt, kann hochgradig optimierte W\u00f6rterb\u00fccher erstellen und damit nicht nur Nutzerkonten, sondern auch Backend-Dienste kompromittieren.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">4. Die zweite Baustelle: Cloud-Passwortmanager nicht perfekt<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn KI-Passw\u00f6rter tabu sind, bleibt die Empfehlung: Nutzt einen Passwortmanager. Doch auch hier gibt es frische Hiobsbotschaften. Forschende der&nbsp;<strong>ETH Z\u00fcrich<\/strong>&nbsp;untersuchten 2025 drei popul\u00e4re Cloud-basierte Dienste \u2013 Bitwarden, LastPass und Dashlane (zusammen \u00fcber 60 Millionen Nutzer). Alle drei werben mit \u201eZero-Knowledge-Encryption\u201c: Der Anbieter kann angeblich niemals auf die gespeicherten Passw\u00f6rter zugreifen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die ETH-Wissenschaftler simulierten einen Angreifer, der die Server des Anbieters vollst\u00e4ndig \u00fcbernommen hat. Ergebnis: Mehr als die H\u00e4lfte von 25 getesteten Angriffsszenarien h\u00e4tte es erm\u00f6glicht, die Passw\u00f6rter im Klartext auszulesen oder zu manipulieren \u2013 teilweise mit einfachen Aktionen wie \u201esich selbst einloggen und die Synchronisation ausl\u00f6sen\u201c.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">Dienst<\/th><th class=\"has-text-align-left\" data-align=\"left\">Schwere der gefundenen L\u00fccken<\/th><th class=\"has-text-align-left\" data-align=\"left\">Status der Behebung<\/th><\/tr><\/thead><tbody><tr><td>Dashlane<\/td><td>Hoch (u.\u202fa. manipulierte Tresore)<\/td><td>Behoben (Nov. 2024)<\/td><\/tr><tr><td>LastPass<\/td><td>Mittel (URL-Handling)<\/td><td>Behoben<\/td><\/tr><tr><td>Bitwarden<\/td><td>Mittel (mehrere Schwachstellen)<\/td><td>In Arbeit (Stand M\u00e4rz 2025)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Die gute Nachricht: Die Anbieter wurden rechtzeitig informiert (90\u2011Day\u2011Disclosure) und haben Patches ver\u00f6ffentlicht. Die schlechte Nachricht: Kein System ist unfehlbar. Ein Angriff setzt zwar voraus, dass der Anbieter bereits tief kompromittiert ist \u2013 das ist eine hohe H\u00fcrde, aber keine unm\u00f6gliche (man erinnere sich an die LastPass-Breaches 2022).<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">5. Perspektiven und Handlungsempfehlungen<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">5.1 Was tun als normaler Nutzer?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die Empfehlungen aus dem&nbsp;<em>heise ct<\/em>-Video sind nach wie vor g\u00fcltig:<\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li><strong>Keine KI-Chatbots f\u00fcr Passw\u00f6rter verwenden<\/strong>\u00a0\u2013 sie sind strukturell ungeeignet.<\/li>\n\n\n\n<li><strong>Passwortmanager weiterhin nutzen<\/strong>\u00a0\u2013 sie sind immer noch weit besser als selbst ausgedachte oder wiederverwendete Passw\u00f6rter. Wer maximale Kontrolle will, greift zu\u00a0<strong>lokalem KeePassXC<\/strong>\u00a0ohne Cloud.<\/li>\n\n\n\n<li><strong>Master-Passwort stark w\u00e4hlen<\/strong>\u00a0\u2013 idealerweise eine 6\u2011Wort-Passphrase (\u201eKrokodil-Rakete-Tasse-Leuchtturm-Klavier-Zitrone\u201c) mit echter Zufallsauswahl (z.\u202fB. mittels W\u00fcrfeln aus einem Wortlisten-\u201eDiceware\u201c).<\/li>\n\n\n\n<li><strong>PassKeys aktivieren, wo verf\u00fcgbar<\/strong>\u00a0\u2013 diese ger\u00e4tegebundenen kryptografischen Schl\u00fcssel ersetzen Passw\u00f6rter vollst\u00e4ndig und sind resistent gegen Phishing und Leaks. Apple, Google, Microsoft sowie Dienste wie PayPal, GitHub und Amazon unterst\u00fctzen Passkeys.<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">5.2 Was tun als Entwickler?<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Niemals LLMs auffordern, Passw\u00f6rter, Tokens oder Seeds zu generieren.<\/li>\n\n\n\n<li>Kryptografische Zufallsgeneratoren der jeweiligen Programmiersprache verwenden (z.\u202fB.\u00a0<code>secrets<\/code>\u00a0in Python,\u00a0<code>crypto\/rand<\/code>\u00a0in Go,\u00a0<code>SecureRandom<\/code>\u00a0in Java).<\/li>\n\n\n\n<li>Code-KI nutzen, aber generierte Passwort-Strings explizit \u00fcberpr\u00fcfen und durch echte Zufallswerte ersetzen.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">5.3 Die Zukunft: Vom Passwort zur Public-Key-Authentifizierung<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die Passwort-\u00c4ra neigt sich dem Ende zu. WebAuthn \/ Passkeys sind der erste massentaugliche Standard, der auf asymmetrischer Kryptographie basiert. Der private Schl\u00fcssel verl\u00e4sst niemals das Ger\u00e4t des Nutzers, der \u00f6ffentliche Schl\u00fcssel wird beim Dienst hinterlegt. Anmeldung erfolgt per Biometrie, PIN oder Ger\u00e4te-Entsperrung. Das Konzept eliminiert die klassischen Passwortprobleme: keine Wiederverwendung, kein Phishing, kein Leaken.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bis zur fl\u00e4chendeckenden Einf\u00fchrung wird es noch Jahre dauern. Doch schon heute k\u00f6nnen Nutzer bei vielen wichtigen Diensten (Google, Microsoft, Apple-ID, GitHub, Amazon) Passkeys aktivieren. Die parallele Nutzung eines Passwortmanagers bleibt vorerst sinnvoll.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">Fazit und Ausblick<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das scheinbar sichere KI-Passwort und das \u00f6ffentlich gek\u00fcrte \u201eWeltmeister-Passwort\u201c sind zwei Seiten derselben Medaille: Wir \u00fcbersch\u00e4tzen die F\u00e4higkeit von Maschinen, echten Zufall zu erzeugen, und untersch\u00e4tzen die Gefahr der \u00d6ffentlichkeit. Ein Passwort, das jemals irgendwo im Klartext stand \u2013 sei es in einem Satireartikel, in einem KI-Trainingstext oder in einem Datenleck \u2013 ist f\u00fcr immer verbrannt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die gute Nachricht: Wir haben heute bessere Werkzeuge. Echte kryptografische Zufallsgeneratoren sind in jedem Betriebssystem eingebaut. Passwortmanager nutzen sie, Passkeys nutzen sie. Der Weg in eine passwortlose Zukunft ist klar abgesteckt. Bis dahin gilt:&nbsp;<strong>Vertrauen Sie keinem Muster, das nach Zufall aussieht \u2013 vertrauen Sie nur gepr\u00fcfter Mathematik.<\/strong><\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\" \/>\n\n\n\n<h2 class=\"wp-block-heading\">Quellen<\/h2>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li><strong>Irregular Security<\/strong>\u00a0(2025):\u00a0<em>\u201eLLM-generated Passwords are not random \u2013 A security analysis\u201c<\/em>\u00a0\u2013 nicht \u00f6ffentlich, aber referenziert im heise-ct-Video.<\/li>\n\n\n\n<li><strong>heise ct<\/strong>\u00a0(2025): YouTube-Video\u00a0*\u201e(111) KI-Passw\u00f6rter sind unsicher \u2013 und das ist kein Bug\u201c*\u00a0(Direktlink:\u00a0<code>https:\/\/www.youtube.com\/watch?v=oW9EhFbfIlU<\/code>).<\/li>\n\n\n\n<li><strong>ETH Z\u00fcrich \/ Departement Informatik<\/strong>\u00a0(2025): Studie zu Zero-Knowledge-Cloud-Passwortmanagern (Bitwarden, LastPass, Dashlane) \u2013 im Video genannt, vorl\u00e4ufiger Bericht erwartet.<\/li>\n\n\n\n<li><strong>Der Postillon<\/strong>\u00a0(15. April 2014):\u00a0*\u201eIT-Experten k\u00fcren Mb2.r5oHf-0t zum sichersten Passwort der Welt\u201c*\u00a0\u2013\u00a0<code>https:\/\/www.der-postillon.com\/2014\/04\/it-experten-kuren-zum-sichersten-passwort.html<\/code>.<\/li>\n\n\n\n<li><strong>National Institute of Standards and Technology (NIST)<\/strong>\u00a0\u2013\u00a0*Special Publication 800-63B*\u00a0(2017 Revision), insbesondere die Abkehr von regelm\u00e4\u00dfigen Passwortwechseln und die Empfehlung von Passphrasen.<\/li>\n\n\n\n<li><strong>FIDO Alliance<\/strong>\u00a0\u2013 Spezifikationen zu WebAuthn und Passkeys (aktuell:\u00a0<code>https:\/\/fidoalliance.org\/passkeys\/<\/code>).<\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>Autor:&nbsp;DerSchneider Einleitung \u201eMb2.r5oHf-0t\u201c \u2013 diese scheinbar willk\u00fcrliche Abfolge von Buchstaben, Ziffern und Sonderzeichen wurde vor gut einem Jahrzehnt vom&nbsp;Postillon&nbsp;als \u201esicherstes Passwort der Welt\u201c gek\u00fcrt. Was als satirischer Seitenhieb auf die damalige Passwort-Hysterie gedacht war, entpuppte sich als unbeabsichtigtes Lehrst\u00fcck \u00fcber ein tiefgreifendes Problem der digitalen Sicherheitskultur: Wir vertrauen auf Muster, die wir f\u00fcr zuf\u00e4llig halten, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[41,17],"tags":[2133,3679,5238,5241,5242,5459,7906],"class_list":["post-3944","post","type-post","status-publish","format-standard","hentry","category-digitalkultur","category-im-herz","tag-entropie","tag-kunstliche-intelligenz","tag-passkeys","tag-passwortmanager","tag-passwortsicherheit","tag-postillon-satire","tag-zero-knowledge-verschlusselung"],"_links":{"self":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/3944","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/comments?post=3944"}],"version-history":[{"count":0,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/3944\/revisions"}],"wp:attachment":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/media?parent=3944"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/categories?post=3944"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/tags?post=3944"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}