Passwörter aus KI Modellen wirken oft stark, sind aber laut einer Untersuchung in vielen Fällen leichter zu erraten als erwartet. Das Sicherheitsunternehmen Irregular
spricht von grundsätzlich unsicheren Ergebnissen, wenn ein LLM das Passwort direkt erzeugt und nicht ein sicheres Zufallsverfahren genutzt wird.
Als Hauptgrund nennt das Sicherheitsunternehmen den Unterschied im Design. Sprachmodelle seien darauf ausgelegt, das nächste Zeichen oder Token wahrscheinlichkeitsbasiert vorherzusagen, statt Zeichen gleichmässig zufällig zu wählen, wie es etwa Passwortmanager mit kryptografisch sicheren Zufallszahlen tun.
In Tests mit aktuellen Modellen habe man wiederkehrende Muster beobachtet, darunter ungleich verteilte Zeichen, auffällige Präfixe und sogar identische Passwörter in mehreren Durchläufen. Als Beispiel nennt der Bericht bei Claude Opus 4.6 eine Serie von 50 generierten Passwörtern, in der nur 30 unterschiedlich gewesen seien und ein Passwort 18 Mal vorkam, zudem seien bestimmte Zeichen häufig und andere praktisch nie erschienen.
Die Studie sieht das Risiko auch in der Softwareentwicklung, weil Coding Agents Passwörter teils automatisch erzeugen, ohne sichere Generatoren zu verwenden, obwohl ihnen Werkzeuge dafür zur Verfügung stehen. Irregular empfiehlt, keine LLM generierten Passwörter zu verwenden, Coding Agents explizit auf sichere Passwortgenerierung festzulegen und KI Systeme so auszurichten, dass sie standardmässig auf etablierte Zufallsquellen und Passwortmanager setzen.
(dow)
