World Password Day: ChatGPT ist kein Passwortmanager

Gute Passwörter sind die Basis für Sicherheit im Internet. Experten empfehlen, für jeden Login und jedes Onlinekonto ein eigenes, komplexes Passwort zu nutzen. Bei der stetig steigenden Menge an Internetaccounts wird das schnell zur Herausforderung – können moderne KI-Systeme wie ChatGPT uns beim Erfinden und Verwalten von sicheren Passwörtern helfen? „Kommt ganz darauf an“, sagt Arne Allisat, E-Mail-Sicherheits-Chef der beiden größten deutschen E-Mail-Anbieter WEB.DE und GMX.

4. Mai 2023 von Christian Friemel

Sichere Passwörter sollte man trotz ChatGPT besser selbst entwickeln. (c) Shutterstock

Hallo Arne! Gleich vorab eine grundsätzliche Frage: Wie wichtig ist denn ein sicheres Passwort?

Sichere Passwörter sind das Rückgrat der digitalen Privatsphäre, damit fängt alles an. Wer zu einfache oder zu kurze Passwörter benutzt, der riskiert die Sicherheit von persönlichen, sensiblen Daten: Angreifer bekommen so Zugriff auf die unterschiedlichsten Dinge, private Fotos zum Beispiel, wichtige E-Mails und Dokumente oder Social Media Accounts. Fast noch wichtiger als sichere Passwörter ist es, ein Passwort immer nur für einen einzigen Dienst zu benutzen. Wenn man ein und dasselbe Passwort für mehrere Dienste benutzt, dann muss nur einer dieser Dienste gehackt werden – und schon sind alle Accounts mit dem gleichen Passwort ebenfalls in Gefahr. Besonders kritisch ist das beim eigenen E-Mail-Account: Wenn Online-Kriminelle das Passwort für das E-Mail-Konto haben, können sie darüber die Passwörter für viele andere Dienste einfach über die „Passwort vergessen“-Funktion zurücksetzen und bekommen so auch dort Zugriff.

Wie sieht denn ein sicheres Passwort aus?

Ein sicheres Passwort ist vor allem lang und komplex. Das bedeutet mindestens 8, besser 12 oder mehr Zeichen, und dann gerne Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen im Mix. Das macht es schwerer, das Passwort per Brute-Force-Attacke zu knacken, also einfach durch Ausprobieren. Ganz wichtig ist außerdem, auf persönliche Informationen wie zum Beispiel Spitznamen oder Namen von Haustieren zu verzichten – das machen leider immer noch viele Menschen, aber wenn der Angreifer mich kennt, dann probiert er natürlich zuerst solche persönlichen Daten aus.

 Bei diesen Anforderungen liegt es nahe, eine Text-KI wie ChatGPT zum Erfinden und Managen von Passwörtern einzusetzen: Ist das aus Ihrer Sicht eine Option?

 Das kommt darauf an: KIs wie ChatGPT können Passwort-Vorschläge machen, wenn man sie fragt. Solche Systeme werden anhand von Texten und Artikeln aus dem Internet trainiert, kennen also die gängigen Tipps für sichere Passwörter und können diese auch umsetzen. Aber: Wenn ich ein Passwort bei ChatGPT erfrage, trainiere ich allein dadurch die KI ja auch weiter. Durch meine Eingabe allein lernt die KI also, welche ihrer ausgedachten Passwörter gut beim User ankommen – und dann schlägt sie die gleichen Passwörter eventuell anderen Nutzern mit derselben Frage vor. Ich würde also definitiv davon abraten, von ChatGPT vorgeschlagene Passwörter einfach eins zu eins zu übernehmen. Man kann sich zwar Tipps geben lassen, sollte die Ergebnisse aber definitiv immer abwandeln.

Muss man denn befürchten, dass KIs künftig Passwörter noch einfacher knacken können?

Das ist ein möglicher weiterer Aspekt, ja. Wenn sich viele Nutzer von einer KI ein Passwort erstellen lassen, dann kann die KI mit diesen Prompts Listen ausspucken, die dann für Brute Force Attacken bei einem Hack verwendet werden. Generell machen sich die Menschen glaube ich zu wenig Sorgen um die Passwörter in ihrem Alltag. Wir haben kürzlich erst eine repräsentative Studie machen lassen, die hat ergeben, dass 57% der Deutschen immer noch dasselbe Passwort für mehrere oder sogar alle Logins benutzen; das ist leider die Realität.

Wie macht man es denn besser?

Also als oberste Regel gilt: Jeder Account bekommt ein eigenes, langes und komplexes Passwort. Da gibt’s einen Trick, mit dem man sich auch sichere Passwörter ganz einfach merken kann, die so genannte Satzmethode. Man wählt einen langen Satz, den man sich gut merken kann, nimmt davon nur die Anfangsbuchstaben und würzt noch mit ein paar Ziffern und Sonderzeichen. Aus „Fuchs Du hast die Gans gestohlen, gib sie wieder her“ wird dann einfach das Passwort „FDhdGg,g$wh1776!“ Das kann man sich leicht merken, es ist relativ komplex und damit sicher.

Können Passwort-Manager eine Lösung sein?

Passwort-Manager können eine Alternative sein, haben aber auch Schwächen: Zwar erstellt so eine Software mittels spezieller Algorithmen sichere Passwörter, die befinden sich dann aber erst mal nur auf einem einzigen Gerät, also zum Beispiel auf dem PC. Will man die gleichen Passwörter auch auf dem Handy nutzen, werden sie meist über die Cloud, also die Online-Speicher des Anbieters, übertragen – und damit liegen sie eben doch wieder als Liste im Internet. Außerdem hab ich im Notfall, an einem fremden PC wenn mein Handy weg ist zum Beispiel, auch meine Passwörter unter Umständen nicht mehr zur Verfügung. Also: besser ist es in jedem Fall, eigene sichere Passwörter mit einem System zu entwickeln, über das man sie sich einfach merken kann.

Vielen Dank für das Gespräch.

Das Interview mit Arne Allisat in voller Länge gibt’s hier bei unseren Kollegen vom Inside IONOS-Podcast. 

Kategorien: Mail, News, Sicherheit

Verwandte Themen

POP3 und IMAP: E-Mails mit externen Programmen abrufen

Für alle, die ihre E-Mails mit externen Programmen wie Microsoft Outlook oder Mozilla Thunderbird managen möchten, führt kein Weg an zwei echten Klassikern vorbei: IMAP und POP3 - Weltweite Standards, über die E-Mails-Server im Web und E-Mail-Clients auf PC, Laptop oder Smartphone miteinander kommunizieren. Beide haben Vor- und Nachteile - WEB.DE zeigt, welche Risiken berücksichtigt werden sollten und welche Alternativen es für User gibt. mehr

Cyber-Kriminalität: WEB.DE und GMX erkennen rund 35 Prozent mehr Spam

Die Menge an abgewehrten Spam-Mails bei Deutschlands größten E-Mail-Anbietern WEB.DE und GMX steigt. Im dritten Quartal 2024 haben die beiden Dienste wöchentlich rund 1,9 Milliarden potenziell gefährliche E-Mails aus dem eingehenden Nachrichtenstrom herausgefiltert. Im Vorjahresquartal waren es noch 1,4 Milliarden. Im Trend liegen gefälschte E-Mails von Paketunternehmen und Kundenservice-Phishing. mehr