Immer mehr Anwender und Entwickler lassen sich Passwörter von großen Sprachmodellen (LLM) wie ChatGPT, Claude oder Gemini erzeugen. Die Ergebnisse wirken auf den ersten Blick überzeugend: lange Zeichenketten mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, die von Online-Tools als „sehr stark“ eingestuft werden. Eine aktuelle Untersuchung des Unternehmens Irregular zeigt jedoch, dass diese scheinbare Komplexität trügt: KI-generierte Passwörter folgen festen Mustern und lassen sich mit geeigneten Angriffsstrategien in Stunden statt Jahrhunderten knacken.
Studie: Wie sicher sind von KI generierte Passwörter wirklich?
Für die Analyse testeten die Forscher drei verbreitete Sprachmodelle: ChatGPT, Claude und Gemini. Jede KI sollte in 50 Durchläufen ein Passwort mit genau 16 Zeichen erzeugen – verpflichtend mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Solche Vorgaben entsprechen typischen Unternehmensrichtlinien und gelten gemeinhin als „Goldstandard“ starker Passwörter.
Die erzeugten Kennwörter wurden anschließend mit gängigen Online-Diensten zur Passwortstärke geprüft. Diese Tools, die von der Annahme zufälliger Zeichenverteilung ausgehen, bewerteten nahezu alle KI-Passwörter als sehr stark und prognostizierten theoretische Angriffszeiten von Jahrzehnten bis Jahrhunderten. Was diese Prüfungen jedoch nicht berücksichtigen: Sprachmodelle generieren keinen echten Zufall, sondern Text nach erlernten statistischen Mustern.
Wiederkehrende Muster in Passwörtern von ChatGPT, Claude und Gemini
Die detaillierte Auswertung zeigte, dass die Passwörter der getesteten KIs hochgradig strukturiert sind. Besonders deutlich wurde dies bei Claude: Von 50 generierten Passwörtern waren nur 30 wirklich einzigartig. 20 Kennwörter wiederholten sich, davon trat eine konkrete Zeichenfolge sogar 18-mal identisch auf. Zudem wiesen viele Passwörter dieselben Anfangs- und Endzeichen auf – ein Hinweis auf feste, vom Modell bevorzugte Strukturen.
Ähnliche Muster traten auch bei ChatGPT und Gemini auf: charakteristische Sequenzen am Anfang, wiederkehrende Layouts und eine auffällig „aufgeräumte“ Verteilung der Zeichen. Bemerkenswert: In keinem der 50 Claude-Passwörter kamen doppelte Zeichen vor. Aus kryptographischer Sicht ist das kein Qualitätsmerkmal, sondern ein Indiz, dass das Modell bewusst „schön“ wirkende, aber eben nicht zufällige Strings erzeugt.
Zusätzlich wurde das Bildmodell Google Nano Banana Pro getestet, indem die KI gebeten wurde, einen Sticker mit einem „zufälligen“ Passwort zu zeichnen. Auch hier zeigten sich dieselben statistischen Eigenheiten wie bei Gemini – der visuelle Output ändert also nichts an den zugrunde liegenden, vorhersagbaren Mustern.
Geringe Entropie: Warum KI-Passwörter in Stunden geknackt werden
Um die tatsächliche Sicherheit zu messen, nutzten die Experten die Entropie nach Shannon. Vereinfacht gesagt misst Entropie in Bits, wie unvorhersagbar eine Zeichenfolge ist: Je höher der Wert, desto größer der Suchraum für einen Angreifer und desto länger dauert ein Brute-Force-Angriff.
Für die 16-stelligen KI-Passwörter ergab sich eine Entropie von rund 27 Bit (basierend auf der Zeichenstatistik) bzw. etwa 20 Bit (basierend auf den Log-Wahrscheinlichkeiten der Modelle). Zum Vergleich: Ein wirklich zufälliges Passwort mit 16 Zeichen aus einem ähnlichen Zeichenvorrat sollte typischerweise 98–120 Bit Entropie erreichen. Während 220 bis 227 mögliche Kombinationen mit moderner Hardware in Stunden oder sogar Minuten durchprobiert werden können, ist 2100 praktisch nicht mehr erschöpfend angreifbar.
Irregular kommt zu dem Schluss, dass KI-Passwörter mit gängigen Brute-Force-Tools selbst auf älterer Hardware in wenigen Stunden erraten werden können. Werden zusätzlich optimierte Wörterbücher genutzt, die typische LLM-Muster abdecken, verkürzt sich die Angriffszeit weiter. Dieses Ergebnis deckt sich mit etablierten Empfehlungen, etwa der NIST SP 800‑63 und OWASP-Guidelines, die für Authentifizierung eindeutig kryptographisch sichere Zufallszahlengeneratoren fordern.
Warum Sprachmodelle kein sicherer Passwortgenerator sein können
Die Ursache liegt im grundlegenden Design von LLMs. Sprachmodelle sind darauf trainiert, die Wahrscheinlichkeit des nächsten Tokens zu maximieren, sodass der Text möglichst plausibel und „natürlich“ wirkt. Genau das steht im Widerspruch zu den Anforderungen an sichere Passwörter, die möglichst untypisch und unvorhersagbar sein müssen.
Auch die Anpassung von Parametern wie Temperature oder komplexe Prompts ändert nichts an diesem Prinzip: Das Modell bleibt ein Werkzeug zur Erzeugung wahrscheinlicher Texte, kein kryptographischer Zufallszahlengenerator (CSPRNG). Aus Sicht der Informationssicherheit dürfen LLMs daher nicht als Quelle für Passwort- oder Schlüsselmaterial betrachtet werden – ein Punkt, den Sicherheitsstandards seit Jahren klar formulieren.
Praktische Risiken: KI-Muster in Code, Konfigurationen und Infrastruktur
Besonders kritisch ist, dass die charakteristischen KI-Muster bereits in großem Umfang in öffentlichen Repositorien zu finden sind. Suchen in Plattformen wie GitHub zeigen dieselben Passwortstrukturen in Testcode, technischen Dokumentationen und Konfigurationsdateien. Das legt nahe, dass Entwickler real eingesetzte Zugangsdaten und Secrets mit ChatGPT, Claude oder Gemini erzeugen.
Für Angreifer eröffnet das neue Angriffsvektoren. Kennt man die bevorzugten Strukturen bestimmter Modelle, lassen sich modell-spezifische Wörterbücher und hybride Angriffe entwickeln, die LLM-Passwörter deutlich schneller knacken als rein zufällige Kennwörter vergleichbarer Länge. Betroffen sind dabei nicht nur Benutzerkonten, sondern auch API-Schlüssel, Datenbank-Passwörter, Cloud-Credentials und Service-Accounts – also genau die Komponenten, die im Fall eines erfolgreichen Angriffs oft maximalen Schaden verursachen.
Best Practices: So werden Passwörter wirklich sicher generiert
Organisationen sollten alle Passwörter und Secrets, die vermutlich von KI generiert wurden, systematisch identifizieren und austauschen. Dazu gehören Benutzerkonten, Datenbank-Logins, API-Tokens, SSH-Schlüsselpassphrasen, Service-Accounts und in Skripten oder Konfigurationsdateien hinterlegte Zugangsdaten. Wo möglich, sollte dieser Austausch mit einem konsequenten Secrets-Management und einer geplanten Schlüsselrotation kombiniert werden.
Für Anwender empfiehlt sich der Einsatz eines Passwortmanagers mit integriertem Generator, der auf einem kryptographisch sicheren Zufallszahlengenerator basiert. Wichtige Konten sollten lange, einzigartige Passwörter nutzen (mindestens 16–20 Zeichen, keine Wiederverwendung) und nach Möglichkeit durch Multi-Faktor-Authentifizierung (MFA) geschützt werden. Entwickler sollten Secrets konsequent in spezialisierten Vault-Lösungen (z.B. Secret-Manager oder HSM-gestützte Systeme) speichern und niemals im Klartext im Code oder öffentlichen Repos ablegen.
Die Verbreitung von KI in der Softwareentwicklung ist unvermeidlich und in vielen Bereichen äußerst hilfreich – etwa bei Codeanalyse, Dokumentation und Automatisierung. Gerade deshalb ist es entscheidend, ihre Grenzen zu kennen: LLMs sind kein sicheres Werkzeug zur Generierung von Passwörtern und kryptographischen Schlüsseln. Wer jetzt KI-gestützte Passwörter ersetzt, robuste Passwort- und Secrets-Richtlinien etabliert und Mitarbeitende über diese Risiken aufklärt, reduziert die Angriffsfläche erheblich und stärkt nachhaltig die Sicherheitsarchitektur seines Unternehmens.
