World Password Day: ChatGPT ist kein Passwortmanager

Gute Passwörter sind die Basis für Sicherheit im Internet. Experten empfehlen, für jeden Login und jedes Onlinekonto ein eigenes, komplexes Passwort zu nutzen. Bei der stetig steigenden Menge an Internetaccounts wird das schnell zur Herausforderung – können moderne KI-Systeme wie ChatGPT uns beim Erfinden und Verwalten von sicheren Passwörtern helfen? „Kommt ganz darauf an“, sagt Arne Allisat, E-Mail-Sicherheits-Chef der beiden größten deutschen E-Mail-Anbieter WEB.DE und GMX.

4. Mai 2023 von Christian Friemel

Sichere Passwörter sollte man trotz ChatGPT besser selbst entwickeln. (c) Shutterstock

Hallo Arne! Gleich vorab eine grundsätzliche Frage: Wie wichtig ist denn ein sicheres Passwort?

Sichere Passwörter sind das Rückgrat der digitalen Privatsphäre, damit fängt alles an. Wer zu einfache oder zu kurze Passwörter benutzt, der riskiert die Sicherheit von persönlichen, sensiblen Daten: Angreifer bekommen so Zugriff auf die unterschiedlichsten Dinge, private Fotos zum Beispiel, wichtige E-Mails und Dokumente oder Social Media Accounts. Fast noch wichtiger als sichere Passwörter ist es, ein Passwort immer nur für einen einzigen Dienst zu benutzen. Wenn man ein und dasselbe Passwort für mehrere Dienste benutzt, dann muss nur einer dieser Dienste gehackt werden – und schon sind alle Accounts mit dem gleichen Passwort ebenfalls in Gefahr. Besonders kritisch ist das beim eigenen E-Mail-Account: Wenn Online-Kriminelle das Passwort für das E-Mail-Konto haben, können sie darüber die Passwörter für viele andere Dienste einfach über die „Passwort vergessen“-Funktion zurücksetzen und bekommen so auch dort Zugriff.

Wie sieht denn ein sicheres Passwort aus?

Ein sicheres Passwort ist vor allem lang und komplex. Das bedeutet mindestens 8, besser 12 oder mehr Zeichen, und dann gerne Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen im Mix. Das macht es schwerer, das Passwort per Brute-Force-Attacke zu knacken, also einfach durch Ausprobieren. Ganz wichtig ist außerdem, auf persönliche Informationen wie zum Beispiel Spitznamen oder Namen von Haustieren zu verzichten – das machen leider immer noch viele Menschen, aber wenn der Angreifer mich kennt, dann probiert er natürlich zuerst solche persönlichen Daten aus.

 Bei diesen Anforderungen liegt es nahe, eine Text-KI wie ChatGPT zum Erfinden und Managen von Passwörtern einzusetzen: Ist das aus Ihrer Sicht eine Option?

 Das kommt darauf an: KIs wie ChatGPT können Passwort-Vorschläge machen, wenn man sie fragt. Solche Systeme werden anhand von Texten und Artikeln aus dem Internet trainiert, kennen also die gängigen Tipps für sichere Passwörter und können diese auch umsetzen. Aber: Wenn ich ein Passwort bei ChatGPT erfrage, trainiere ich allein dadurch die KI ja auch weiter. Durch meine Eingabe allein lernt die KI also, welche ihrer ausgedachten Passwörter gut beim User ankommen – und dann schlägt sie die gleichen Passwörter eventuell anderen Nutzern mit derselben Frage vor. Ich würde also definitiv davon abraten, von ChatGPT vorgeschlagene Passwörter einfach eins zu eins zu übernehmen. Man kann sich zwar Tipps geben lassen, sollte die Ergebnisse aber definitiv immer abwandeln.

Muss man denn befürchten, dass KIs künftig Passwörter noch einfacher knacken können?

Das ist ein möglicher weiterer Aspekt, ja. Wenn sich viele Nutzer von einer KI ein Passwort erstellen lassen, dann kann die KI mit diesen Prompts Listen ausspucken, die dann für Brute Force Attacken bei einem Hack verwendet werden. Generell machen sich die Menschen glaube ich zu wenig Sorgen um die Passwörter in ihrem Alltag. Wir haben kürzlich erst eine repräsentative Studie machen lassen, die hat ergeben, dass 57% der Deutschen immer noch dasselbe Passwort für mehrere oder sogar alle Logins benutzen; das ist leider die Realität.

Wie macht man es denn besser?

Also als oberste Regel gilt: Jeder Account bekommt ein eigenes, langes und komplexes Passwort. Da gibt’s einen Trick, mit dem man sich auch sichere Passwörter ganz einfach merken kann, die so genannte Satzmethode. Man wählt einen langen Satz, den man sich gut merken kann, nimmt davon nur die Anfangsbuchstaben und würzt noch mit ein paar Ziffern und Sonderzeichen. Aus „Fuchs Du hast die Gans gestohlen, gib sie wieder her“ wird dann einfach das Passwort „FDhdGg,g$wh1776!“ Das kann man sich leicht merken, es ist relativ komplex und damit sicher.

Können Passwort-Manager eine Lösung sein?

Passwort-Manager können eine Alternative sein, haben aber auch Schwächen: Zwar erstellt so eine Software mittels spezieller Algorithmen sichere Passwörter, die befinden sich dann aber erst mal nur auf einem einzigen Gerät, also zum Beispiel auf dem PC. Will man die gleichen Passwörter auch auf dem Handy nutzen, werden sie meist über die Cloud, also die Online-Speicher des Anbieters, übertragen – und damit liegen sie eben doch wieder als Liste im Internet. Außerdem hab ich im Notfall, an einem fremden PC wenn mein Handy weg ist zum Beispiel, auch meine Passwörter unter Umständen nicht mehr zur Verfügung. Also: besser ist es in jedem Fall, eigene sichere Passwörter mit einem System zu entwickeln, über das man sie sich einfach merken kann.

Vielen Dank für das Gespräch.

Das Interview mit Arne Allisat in voller Länge gibt’s hier bei unseren Kollegen vom Inside IONOS-Podcast. 

Kategorien: Mail, News, Sicherheit
Schlagworte: Account-Sicherheit, Arne Allisat, Passwörter, Sicherheit

Verwandte Themen

WEB.DE hebt Anforderungen für Passwort-Qualität an

Der E-Mail-Anbieter informiert Nutzerinnen und Nutzer im Laufe der kommenden Wochen per Mail über die Umsetzung einer neuen Passwortrichtlinie. Neue Passwörter werden künftig verstärkt mithilfe technischer Algorithmen auf Qualität, Länge und Komplexität hin überprüft. Die Überprüfung findet unter den gleichen strengen Sicherheitsbedingungen wie die Passworteingabe beim Login statt. mehr

Smart Safety First: Wie das Smartphone das E-Mail-Postfach sicherer macht

Das E-Mail-Postfach ist unser digitales Zuhause und sollte bestmöglich geschützt werden. Ein starkes, einzigartiges Passwort hat daher oberste Priorität, denn Hacker und Spammer schlafen nicht: Mit Phishing-Mails oder durch einfaches Ausprobieren gängiger Passwörter versuchen sie, sich Zugriff auf den E-Mail-Account zu verschaffen. Einmal eingedrungen, können sie sich von hier aus auch Zugang zu anderen Accounts ihrer Opfer verschaffen, etwa bei Shopping-Portalen oder sozialen Netzwerken. Im schlimmsten Fall steht so die komplette digitale Identität auf dem Spiel. Ein wichtiges Werkzeug im Kampf gegen Online-Betrug ist das eigene Smartphone: Mit Push-Benachrichtigungen und Zwei-Faktor-Authentifizierung sorgt der digitale Helfer für zusätzliche Sicherheit. mehr