Mit Hilfe von künstlicher Intelligenz lassen sich Passwörter erfolgreicher erraten als mit herkömmlichen Methoden.

Künstliche Intelligenz: Forscher setzen auf neuronale Netze, um Passwörter zu erraten

Dass manuell erstellte Passwörter gewissen Mustern unterliegen, ist keine wirklich neue Erkenntnis. Programme wie John the Ripper oder Hashcat machen sich diesen Umstand seit geraumer Zeit zunutze und generieren auf Basis heuristischer Regeln möglichst wahrscheinliche Passwörter, was dann wiederum beim Eindringen in fremde Nutzerkonten verwendet werden kann. Wissenschaftler der beiden US-amerikanischen Universitäten Stevens Institute of Technology und New York Institute of Technology sind jetzt aber noch einen Schritt weiter gegangen und haben eine künstliche Intelligenz (KI) namens PassGAN zum Erraten von Passwörtern eingesetzt.

Das Ergebnis war durchaus überzeugend: Nachdem die Wissenschaftler ihre KI mit mehr als 32.000 echten Passwörtern gefüttert hatten, die 2010 in Umlauf geraten sind, schaffte es die Software im Anschluss, eins von zehn Passwörtern korrekt zu erraten, die 2016 von Linkedin-Nutzern entwendet worden sind. Dabei wurden bereits die Passwörter entfernt, die in beiden Datenbanken zu finden waren. Hier sei jedoch angemerkt, dass Hashcat 17,67 Prozent der Passwörter erraten konnte. Daraufhin kombinierten die Forscher die Ergebnisse ihres neuronalen Netzwerkes mit denen von Hashcat und konnten die Erkennungsrate so noch einmal deutlich steigern. „Das ist bemerkenswert, denn es zeigt, dass PassGAN eine beachtliche Anzahl an Passwörtern generieren kann, die außerhalb der Reichweite der derzeitigen Tools liegen“, schlussfolgern die Wissenschaftler in ihrem Paper.

Im Zweifel dürfte dein Passwort nie so clever sein, wie du glaubst. (Foto: Shutterstock)

Generative Adversarial Networks: So funktioniert die KI

Konkret setzten die Forscher bei ihrer KI auf sogenannte Generative Adversarial Networks (GAN). Darunter versteht man den Einsatz von zwei künstlichen neuronalen Netzwerken, die sich im Zusammenspiel ohne Überwachung von außen trainieren. Vereinfacht ausgedrückt funktioniert das so: Das erste Netzwerk versucht, dem Zweiten „falsche“ Passwörter unterzujubeln, während das Zweite genau das zu verhindern sucht. Beide werden dabei immer besser, bis die „Fälschungen“ des ersten Netzwerks so gut sind, dass das zweite Netzwerk sie nicht mehr von den Originalen unterscheiden kann.

Mittlerweile lassen sich Abermillionen von echten Passwörtern frei zugänglich im Netz finden. Wie die Forscher gezeigt haben, lassen sich daraus noch deutlich mehr Passwörter generieren, die von Nutzern jetzt eingesetzt oder zukünftig gewählt werden. Dadurch zeigt sich erneut, wie unsicher Passwörter als Mittel zur Zugangsbeschränkung sind. Bis sich Alternativen zum Passwort oder zusätzliche Sicherheitsvorkehrungen wie die Zwei-Faktor-Authentifizierung großflächig durchsetzen, sollten Nutzer, wann immer möglich, auf komplexe, software-generierte Passwörter in Kombination mit Passwortmanagern setzen.

