Hallo Arne! Gleich vorab eine grundsätzliche Frage: Wie wichtig ist denn ein sicheres Passwort?
Sichere Passwörter sind das Rückgrat der digitalen Privatsphäre, damit fängt alles an. Wer zu einfache oder zu kurze Passwörter benutzt, der riskiert die Sicherheit von persönlichen, sensiblen Daten: Angreifer bekommen so Zugriff auf die unterschiedlichsten Dinge, private Fotos zum Beispiel, wichtige E-Mails und Dokumente oder Social Media Accounts. Fast noch wichtiger als sichere Passwörter ist es, ein Passwort immer nur für einen einzigen Dienst zu benutzen. Wenn man ein und dasselbe Passwort für mehrere Dienste benutzt, dann muss nur einer dieser Dienste gehackt werden – und schon sind alle Accounts mit dem gleichen Passwort ebenfalls in Gefahr. Besonders kritisch ist das beim eigenen E-Mail-Account: Wenn Online-Kriminelle das Passwort für das E-Mail-Konto haben, können sie darüber die Passwörter für viele andere Dienste einfach über die „Passwort vergessen“-Funktion zurücksetzen und bekommen so auch dort Zugriff.
Wie sieht denn ein sicheres Passwort aus?
Ein sicheres Passwort ist vor allem lang und komplex. Das bedeutet mindestens 8, besser 12 oder mehr Zeichen, und dann gerne Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen im Mix. Das macht es schwerer, das Passwort per Brute-Force-Attacke zu knacken, also einfach durch Ausprobieren. Ganz wichtig ist außerdem, auf persönliche Informationen wie zum Beispiel Spitznamen oder Namen von Haustieren zu verzichten – das machen leider immer noch viele Menschen, aber wenn der Angreifer mich kennt, dann probiert er natürlich zuerst solche persönlichen Daten aus.
Bei diesen Anforderungen liegt es nahe, eine Text-KI wie ChatGPT zum Erfinden und Managen von Passwörtern einzusetzen: Ist das aus Ihrer Sicht eine Option?
Das kommt darauf an: KIs wie ChatGPT können Passwort-Vorschläge machen, wenn man sie fragt. Solche Systeme werden anhand von Texten und Artikeln aus dem Internet trainiert, kennen also die gängigen Tipps für sichere Passwörter und können diese auch umsetzen. Aber: Wenn ich ein Passwort bei ChatGPT erfrage, trainiere ich allein dadurch die KI ja auch weiter. Durch meine Eingabe allein lernt die KI also, welche ihrer ausgedachten Passwörter gut beim User ankommen – und dann schlägt sie die gleichen Passwörter eventuell anderen Nutzern mit derselben Frage vor. Ich würde also definitiv davon abraten, von ChatGPT vorgeschlagene Passwörter einfach eins zu eins zu übernehmen. Man kann sich zwar Tipps geben lassen, sollte die Ergebnisse aber definitiv immer abwandeln.
Muss man denn befürchten, dass KIs künftig Passwörter noch einfacher knacken können?
Das ist ein möglicher weiterer Aspekt, ja. Wenn sich viele Nutzer von einer KI ein Passwort erstellen lassen, dann kann die KI mit diesen Prompts Listen ausspucken, die dann für Brute Force Attacken bei einem Hack verwendet werden. Generell machen sich die Menschen glaube ich zu wenig Sorgen um die Passwörter in ihrem Alltag. Wir haben kürzlich erst eine repräsentative Studie machen lassen, die hat ergeben, dass 57% der Deutschen immer noch dasselbe Passwort für mehrere oder sogar alle Logins benutzen; das ist leider die Realität.
Wie macht man es denn besser?
Also als oberste Regel gilt: Jeder Account bekommt ein eigenes, langes und komplexes Passwort. Da gibt’s einen Trick, mit dem man sich auch sichere Passwörter ganz einfach merken kann, die so genannte Satzmethode. Man wählt einen langen Satz, den man sich gut merken kann, nimmt davon nur die Anfangsbuchstaben und würzt noch mit ein paar Ziffern und Sonderzeichen. Aus „Fuchs Du hast die Gans gestohlen, gib sie wieder her“ wird dann einfach das Passwort „FDhdGg,g$wh1776!“ Das kann man sich leicht merken, es ist relativ komplex und damit sicher.
Können Passwort-Manager eine Lösung sein?
Passwort-Manager können eine Alternative sein, haben aber auch Schwächen: Zwar erstellt so eine Software mittels spezieller Algorithmen sichere Passwörter, die befinden sich dann aber erst mal nur auf einem einzigen Gerät, also zum Beispiel auf dem PC. Will man die gleichen Passwörter auch auf dem Handy nutzen, werden sie meist über die Cloud, also die Online-Speicher des Anbieters, übertragen – und damit liegen sie eben doch wieder als Liste im Internet. Außerdem hab ich im Notfall, an einem fremden PC wenn mein Handy weg ist zum Beispiel, auch meine Passwörter unter Umständen nicht mehr zur Verfügung. Also: besser ist es in jedem Fall, eigene sichere Passwörter mit einem System zu entwickeln, über das man sie sich einfach merken kann.
Vielen Dank für das Gespräch.
Das Interview mit Arne Allisat in voller Länge gibt’s hier bei unseren Kollegen vom Inside IONOS-Podcast.