So schnell knackt KI eure Passwörter
Zwei Wochen bis zwei Millionen Jahre: So lange würde die KI von Home Security Heroes brauchen, um das einfachste beziehungsweise das schwierigste Passwort zu knacken, das die Autorin dieser Zeilen zum Test eingegeben hat.
Beängstigend, beruhigend und unglaublich motivierend, sich wieder mehr mit der Thematik „superstarke Pa§§Woert3r!“ zu befassen. Doch von Anfang an:
Das Cybersicherheitsunternehmen Home Security Heroes hat insgesamt 15.600.000 gebräuchliche Passwörter in eine KI eingespeist. Stolze 51 Prozent davon konnte die KI in weniger als einer Minute knacken.
Rockyou-Datensatz diente als Passwort-Basis
Für den Test setzte Home Security Heroes auf den Passwortgenerator PassGAN, der ein Generatives Adversarial Network (GAN) verwendet, um aus echten Passwörtern neue zu generieren. Unter GAN versteht man eine Gruppe von Algorithmen für unüberwachtes Lernen. Das Generator-Netzwerk erzeugt also gefälschte Daten, während der Diskriminator die Aufgabe hat, echte Daten in einer Flut von Fälschungen zu erkennen.
PassGAN kann mehrere Passworteigenschaften generieren und die Qualität der vorhergesagten Passwörter verbessern, was es Hackern schwerer macht, Passwörter zu knacken und Zugang zu persönlichen Daten zu erhalten.
Home Security Heroes hat für den Test Millionen Passwörter aus dem Rockyou-Datensatz (bekannt als Rockyou.txt) eingespeist. Zum Verständnis: Seitdem das Unternehmen vor zwei Jahren Ziel eines großangelegten Hacks wurde, bei dem Millionen unverschlüsselte Passwörter offengelegt wurden, kommt der Rockyou-Datensatz oft in der Sicherheitsforschung zum Einsatz.
KI kennt nach einem Monat 81 Prozent aller Passwörter
Die einfachsten Passwörter konnte die KI in weniger als einer Minute knacken, 65 Prozent aller Passwörter in einer Stunde oder weniger. Es dauerte nur einen Tag, um 71 Prozent der Rockyou-Passwörter zu knacken – und einen weiteren Monat, um schon 81 Prozent aller Passwörter zu kennen.
Die Grafik zeigt, wie lange die KI im Schnitt braucht, um unterschiedlich starke Passwörter zu knacken. (Bild: Home Security Heroes)
Mit welchen Passwörtern hat die KI (noch) Probleme?
Während die KI ein zehnstelliges Passwort, das lediglich aus Zahlen und Kleinbuchstaben besteht, in unter einer Stunde knacken konnte, steigt die Zeit mit Großbuchstaben und Sonderzeichen schnell auf circa fünf Jahre.
Die klare Empfehlung von Home Security Heroes lautet:
- Dein Passwort sollte mindestens 15 Zeichen lang sein.
- Verwende dabei mindestens zwei Buchstaben (Groß- und Kleinbuchstaben) sowie Zahlen und Sonderzeichen.
- Vermeide offensichtliche Passwortmuster – auch wenn dein Passwort ansonsten alle anderen Kriterien erfüllt.
- Verwende das gleiche Passwort nicht für unterschiedliche Accounts.
Ändere deine Passwörter regelmäßig, um das Battle zu gewinnen
Ganz egal, wie stark dein Passwort auch ist: Laut Home Security Heroes solltest du es dennoch alle drei bis sechs Monate ändern. So fehlt der KI schlicht die Zeit, das Passwort zu knacken, bevor du ein anderes angelegt hast.
Passwörter von Home Security Heroes gratis checken lassen
Deine Passwörter kannst du aktuell auf der Website von Home Security Heroes gratis checken lassen. Gib dafür einfach ein Passwort in das dafür vorgesehene Feld ein. Auf der rechten Seite erscheint dann eine Einschätzung, wie lange eine KI brauchen würde, um das Passwort zu knacken.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Wenn man unendlich viele Passwörter eingeben kann, dann macht man sowieso was falsch.
Genau, das finde ich auch. Wenn ein Passwort ZB. mehr als 5x falsch eingegen wird, sofort blockieren. Dann ist der Spaß schnell vorbei.
Aber ist das wirklich realistisch? Wenn ich mein Passwort 5 mal falsch eingebe, bekomme ich meist eine Aufforderung, es zurückzusetzen oder mich anderweitig zu identifizieren. Ich glaube nicht, dass irgendein seriöser Webdienst von heute jemandem die Gelegenheit gibt, mehrere hunderttausend bis millionen Male ein Passwort für den gleichen Benutzeraccount auszuprobieren.
Das seh ich auch so!
Stimmt. Leider gibt es noch mehr vom Internet erreichbar Services on Prem die diese Kriterien nicht erfüllen! Strandard Windows oder Linux ohne Härtung . Schwache Firewall davor oder besser noch keine. Willkommen in der Wirklichkeit
Hoffe, die Ausprobier-Website ist kein Scam, um Passwörter zu sammeln. Könnte man evtl. mit Datenbanken zusammenlegen, in denen Browser-Fingerprints, Geo-Informationen o.ä. gespeichert sind.
Die Kernaussage und Empfehlungen sind im großen und ganzen richtig: Benutzt lange (12 Zeichen reichen) und komplexe (keine „Muster“ oder gar normale Wörter) Passwörter.
Der Rest – speziell der Teil „AI Angriff macht jetzt einen großen Unterschied“ ist BS.
Bei der Geschwindigkeitsgrafik fehlt „auf was für hardware?“ und „gegen welchen Password-Hash Algorithmus?“. Da ist durchaus mal der Unterschied 1 mio. langsamer oder schneller. Hier wurde anscheinend ein worst-case angenommen.
AI Nutzung sieht hier nach Unsinn aus (auf Basis von RockYou gelernt und dann RockYou angegriffen?!?). Wer lange und komplexe Zeichenfolgen nimmt ist auch mit AI nicht angreifbar. Wer das nicht macht wäre mit AI vermutlich angreifbarer – je nach Einzelfall – aber ist es auch ohne AI.
Das „Testfeld“ scheint übrigens lediglich zu untersuchen was man an Zeichen (kleine Buchstaben, große Buchstaben, Zahlen oder Sonderzeichen) und wie viele Zeichen man eingegeben hat. Siehe Testeingabe qwertzuiop oder !“§$%&/()=? da ist es egal, dass das einfach die Zeichen nebeneinander auf der Tastatur sind. Hat also auch nichts mit AI oder auch nur dictionaries zu tun. Das gute: Man braucht nicht sein wirkliches Passwort zum Test eingeben, es macht keinen Unterschied wenn eh nur die Länge und verwendete Zeichen gezählt wird.
Insgesamt halte ich von dem Home Security Heroes Beitrag nicht viel, wobei man ihm zugute halten muss, dass er die Aufmerksamkeit für ein wichtiges Thema steigert.